Un fallo en Twitter permitía a atacantes escribir desde cualquier cuenta
Twitter es la segunda red social más utilizada en todo el mundo, por detrás de Facebook. Por ello, esta red social es muy perseguida por los piratas informáticos que buscan siempre cómo sacar provecho de la plataforma y tener la posibilidad de llegar fácilmente a un gran número de usuarios. Mientras que lo más frecuente es intentar robar cuentas y suplantar la identidad de ciertas personas u organizaciones, un fallo de seguridad ha podido poner en peligro a millones de usuarios al permitir a piratas informáticos publicar mensajes desde cualquier cuenta sin necesidad de suplantarla ni robarla.
El pasado martes, el grupo de expertos de seguridad HackerOne informaba a Twitter sobre el fallo de seguridad que podía permitir a un atacante comprometer cualquier mensaje o cuenta de la red social. Este fallo de seguridad se encontraba en la plataforma publicitaria de Twitter y, a través de él, un atacante podría tomar el control de tweets individuales o cuentas completas de prácticamente cualquier usuario, así como controlar las campañas publicitarias y promocionar tweets a costa de los usuarios. Podéis visitar nuestro tutorial sobre cómo pasan desapercibidos los hackers.
Tan pronto como el fallo de seguridad fue reportado, los ingenieros de Twitter empezaron a trabajar en solucionarlo, quedando en pocas horas totalmente corregido y estando de nuevo las cuentas protegidas frente a este ataque. Una vez solucionado, el grupo de expertos de seguridad lo hizo público, junto a su correspondiente recompensa por hacerlo detectado de 7650 dólares. Os recomendamos visitar nuestro tutorial sobre detectar webs infectadas.
Una vulnerabilidad en Twitter muy peligrosa, pero bastante complicada de aprovechar
Este fallo de seguridad ha expuesto las cuentas de prácticamente todos los usuarios de la plataforma. Además, si a esto le sumamos que un pirata informático podría haber escrito mensajes con enlaces maliciosos o información falsa (imaginad que lo hacen desde las cuentas de la Policía o la Guardia Civil), su peligrosidad no hace más que aumentar exponencialmente.
Sin embargo, a pesar de su peligro, este fallo de seguridad era muy complicado de explotar. Para poder utilizarlo, lo primero que se necesitaba conocer era el owner_id y el user_id de la víctima. Con esto, el atacante ya podría escribir mensajes en nombre de otra persona, pero si quería añadir otro tipo de contenido, como contenido multimedia, debía hacerse con el media_key asociado a dicho archivo, una tarea bastante más complicada al ser un código de 18 dígitos que se desconoce por completo.
A pesar de ello, los responsables de la seguridad de Twitter la han considerado como de «peligrosidad muy alta«, aunque, por suerte, no hay evidencias de que haya podido ser explotada por ningún atacante. Ahora la red social ya está protegida, por lo que esta vulnerabilidad ya no puede ser utilizada.
No queremos acabar sin antes recordaros que la semana pasada, Twitter cambió sus opciones de privacidad para empezar a vender legalmente datos de uso a otras empresas, por lo que, si aún no lo has hecho, debes repasar estas configuraciones cuanto antes y adaptarlas según lo que quieras o no quieras que sea compartido por la compañía.
¿Qué opinas de esta vulnerabilidad de Twitter?