Un fallo en Twitter permitió a apps de terceros leer tus mensajes directos

0
1012

Los mensajes directos de Twitter  son aquellos mediante los cuales podemos comunicarnos con otras personas en privado, sin que los mensajes aparezcan en nuestra línea de tiempo.

Estos suelen utilizarse, también para hablar en privado con otras personas, para compartir información privada o sensible con empresas para solucionar posibles problemas con ellas.

Cabe acotar que toda esta información se vio  comprometida recientemente por un nuevo fallo de seguridad oculto en la red social Twitter.

El pasado fin de semana se dio a conocer un fallo de seguridad en la plataforma de Twitter que permitió a aplicaciones de terceros acceder a todos nuestros mensajes directos.

Dicho fallo de seguridad se centró en que algunas apps no utilizaban el sistema de tokens OAuth para completar la autenticación. Ellas hacían uso de un código PIN para completar la autenticación y conectarse a la plataforma.

En este sentido, los responsables de Twitter  efectuaron algunas medidas de seguridad en su plataforma para reforzar la seguridad de cara a las apps de terceros que tienen acceso a la API.

No obstante, aunque la autenticación OAuth es la estándar, algunas apps no la soportan, por lo que existe un método de autenticación alternativo basado en un PIN para acceder a la API.

Vea también: Doctoralia aplicación que busca dar respuesta a síntomas de sus usuarios

Terence Eden detectó la vulnerabilidad y la reportó

El fallo en sí se produce en que muchas apps no son compatibles con las restricciones de OAuth de la API, por lo que aunque se especificara en el login que una app no tenía acceso a los mensajes directos.

En realidad utilizaba sistemas alternativos para saltarse todas las restricciones, incluso la del número de usuarios, pudiendo tener acceso absoluto a todos los apartados de la red social.

Por su parte,  los responsables de la seguridad de Twitter  confirmaron que ya solucionaron este fallo de seguridad, por lo que las aplicaciones no podrán acceder sin el correspondiente permiso a los mensajes directos de los usuarios.

 Asimismo, aseguran que no hay indicios de que nadie se haya aprovechado de este fallo de seguridad.

La vulnerabilidad se detectó y reportó por medio de un investigador de seguridad, Terence Eden, quien  recibió una recompensa Bug Bounty de Twitter de cerca de 3000 dólares por ella.

Es importante destacar que Twitter no es la única red social que tiene problemas con su API.

Hace unos días, los compañeros de ADSLZone revelaron que Facebook  expuso  las fotos privadas de sus usuarios a terceras personas por un fallo en la Photo API que estaba dando a los desarrolladores permisos que, en teoría, no deberían tener.

Ambos fallos de seguridad ya se  solucionaron, pero esto debería hacernos recapacitar sobre la seguridad y privacidad de las redes sociales y el cuidado que debemos tener con todo lo que compartimos a través de ellas.