Twitter tiene un problema de seguridad en sus cuentas

Escrito por Adrián Crespo
Redes Sociales
0

Parece ser que un usuario de Twitter ha sido el encargado de sacar a relucir esta información. Parece ser que la cuenta de la red social basada en microblog que este usuario tenía en la red social fue robada. El usuario ha afirmado que para llevar a cabo el robo se utilizó el sistema de restablecimiento de la clave de la cuenta. Según él, dicho sistemas es muy vulnerable y muy fácil burlarle.

Por lo tanto, y teniendo en cuenta que todas las cuentas utilizan el mismo sistema, el usuario ha indicado que un ataque empleando la fuerza bruta podría hacer que la contraseña cayese en menos de los delincuentes o de la persona que ha llevado a cabo el ataque.

¿Has tenido problemas con tu cuenta de Twitter?

Daniel Dennis Jones, el usuario cuya cuenta fue recientemente secuestrada utilizando la vulnerabilidad del sistema de recuperación de contraseñas, indica que dicho sistema tiene un grave fallo de seguridad que en otros sistemas no existe. Todo el problema reside en que el sistema de recuperación de contraseñas usa un límite de intentos fallidos de inicio de sesión pero asociado a la dirección IP en vez de a la cuenta de usuarios, lo que da a lugar a muchas puertas.

El proceso de prueba y error

Visto el fallo fundamental y donde reside todo, el atacante ahora tiene vía libre para utilizar un algoritmo de fuerza bruta, es decir, probando una gran cantidad de contraseñas comunes hasta conseguir dar con la correcta. Daniel afirma que otro de los problemas ya no es sólo el error a la hora de asociar el límite a la dirección IP, sino que después de haber llevado a cabo varios intentos fallidos, muchos sistemas lanzan una comprobación de CAPTCHA (un código que debe ser insertado tal cual por el usuario y que combina letras y números).

En resumen, Twitter únicamente previene un número muy alto de intentos de conexión fallidos desde la misma dirección IP.

¿En que otros servicios se emplea el mismo sistema?

Ya sabemos que tiene este grave fallo de seguridad de el cual, no han querido hacer ningún tipo de declaración. La incógnita de los usuarios va a pasar a ser el número de servicios que utilizan este tipo de sistema de recuperación de contraseña o bien uno similar.

Daniel argumenta que los responsables de la red social no van a mover ni un dedo hasta que sea un problema masivo y que provoque las quejas de un gran número de usuarios. Añade que cuando eso pase, a lo mejor el problema que puede tener es demasiado grande como para hacerlo frente.

Artículos de interés:

Fuente | Subdirección de Seguridad de la Información