Un hacker de Mauritania ha publicado datos de acceso de Twitter de unos 15.000 usuarios y aseguró a TechWorm que tiene acceso a toda la base de datos de la red social.
Eso sí, la información publicada no incluye contraseñas, sino las ID asociadas a los tokens de autorización OAuth. Es decir, en principio no sería posible hacerse con el control de una cuenta tras este ataque, aunque sí publicar desde ella mediante aplicaciones de terceros.
Eso sí, la información publicada no incluye contraseñas, sino las ID asociadas a los tokens de autorización OAuth. Es decir, en principio no sería posible hacerse con el control de una cuenta tras este ataque, aunque sí publicar desde ella mediante aplicaciones de terceros.
La información publicada por el hacker, Mauritania Attacker, incluye la id de Twitter, el nombre de usuario y los mencionados códigos OAuth. Además, en el documento se incluye información sobre cómo aprovecharse de estos datos para utilizar las cuentas afectadas.
Los tokens de autorización permiten que las aplicaciones de terceros se conecten con las cuentas de los usuarios sin necesidad de conocer la contraseña de estos. Para ello, es necesario conceder una autorización previa, pero ésta se mantiene de forma indefinida. Es decir, el código no cambia ni caduca, así que si está entre los obtenidos por el hacker, podrá ser utilizado.
Por lo tanto, si en algún momento has dado permisos a una aplicación, sospechosa o no, lo mejor es eliminar estos permisos y volver a concederlos más adelante, si es que se va a volver a usar esta app. De esta forma se creará un nuevo código de autenticación. En cualquier caso, sirve para recordar que el hecho de que una aplicación no obtenga la contraseña de la red social no es un sinónimo de seguridad, ya que la clave está en los permisos que se conceden, que dan un control prácticamente absoluto sobre la cuenta.
Mauritania Attacker no ha explicado cómo consiguió esta información ni por qué ha publicado los datos. Lo más probable es que, como apuntan desde GigaOm, el ataque fuese precisamente a un tercero. Sin embargo, estos servicios no tienen la información de todos los usuarios de Twitter, sino únicamente de aquellos que usan sus herramientas y el atacante asegura poder obtener los datos de acceso de Twitter de cualquier persona. De todos modos, también es probable que haya exagerado en sus declaraciones.
0 comentarios:
Publicar un comentario