Exactitudes sobre la seguridad de Twitter

Tras ver titulares y posts inexactos o directamente erróneos, ésta es la verdad sobre la seguridad de Twitter y quizá no lo que haya leído usted por ahí:

  • Las cuentas de Twitter no han sido hackeadas. Tal y como hemos mencionado, se han accedido a datos de Twitter, pero de la empresa, no del servicio y por tanto no se han visto comprometidos nuestros datos personales.
  • Lo que ha sucedido lo explica perfectamente TechCrunch, lo resumo de forma muy breve:
    • un hacker se informa de empleados de Twitter, e-mails personales, etc. en buscadores como Google y demás.
    • de una empleada de Twitter, averigua su cuenta personal de gmail, y prueba en la misma la opción de “recuperar contraseña”.
    • Gmail ofrece en la opción de recuperar contraseña, enviarla a otro e-mail secundario de esa persona, y lo muestra/oculta en el estilo: ******@h******.com. Esa H es sospechosa: lo más probable es que sea Hotmail.
    • el hacker averigua que la cuenta hotmail que sospecha es a la que se enviará la contraseña, no está ya registrada (lo fue y ha sido eliminada), así que la registra y vuelve a darle a la opción de recuperar contraseña de gmail.
    • Voila, ya tiene acceso al gmail particular de ésta empleada.
    • Revisando el correo personal de la empleada, averigua una contraseña que ella ha elegido en cierto servicio ajeno a twitter o gmail…. porque dicho servicio manda el típico e-mail diciendo que te has registrado con tal usuario y tal contraseña.
    • Voila de nuevo, la empleada usa ésta contraseña para todo. A partir de ahí con la contraseña ya tiene acceso al Google Docs de Twitter.
  • Twitter a partir de ahora asegura que exige a sus empleados que usen password complejas para sus accesos.
  • Los servidores de Twitter con la contraseña “password” sólo eran los de Twitter Search, lugar por otro lado donde no hay información personal a comprometer, pero queda muy bien como titular generalizando (y causando falsa alerta, por cierto).
  • Como ejemplo de titular pésimo, éste de Cinco Días: Un hacker deja las cuentas de Twitter al desnudo, la noticia en sí no está mal, pero el titular es pretencioso y erróneo; por otro lado, normal: zapatero a tus zapatos (una web de economía no es a donde yo iría para leer artículos tecnológicos).

Y algunas conclusiones:

  • La nube quizá no sea el mejor lugar para poner datos confidenciales de una empresa. Creo que es mejor que estén en una red interna, y si se necesita acceso externo, habilitar una red privada virtual.
  • Por mucho que haya transparencia interna en Twitter, quizá un empleado administrativo no sea el más indicado para tener acceso a toda la información de la compañía, incluso si hay acuerdos de confidencialidad. Twitter es demasiado reservada, y luego demasiado abierta… parece un poco incongruente.
  • Twitter ha aprendido la lección.
  • Ciertos medios seguirán magnificando lo sucedido con tal de sacar un buen titular.

Nota friki sobre mi post: los voilas es porque el hacker es un chico francés :-P .

Compártelo!


Via http://feedproxy.google.com/~r/estwitter/~3/Pstnndi5KzE//a>

Related Posts with Thumbnails
Digg Delicious

Tagged with:  

Comments are closed.

Free WordPress Theme