Video: ¿Por qué NO se pueden EDITAR los TWEETS en Twitter? 🤔 Su fundador responde (Noviembre 2024)
Si usted es uno de los 250, 000 usuarios de Twitter que recibió el correo electrónico de restablecimiento de contraseña el viernes, es de esperar que ya haya cambiado su contraseña. Si usa aplicaciones de terceros para publicar en Twitter, es posible que esas aplicaciones sigan usando sus credenciales anteriores. Desinstale y vuelva a instalar las aplicaciones para estar seguro.
Como informamos en SecurityWatch durante el fin de semana, los atacantes robaron nombres de usuario, direcciones de correo electrónico, tokens de sesión y contraseñas con sal y hash. Los tokens de sesión son un tipo especial de cookies criptográficas que informan al sitio de microblogging que el usuario ya ha iniciado sesión. Mientras el token de sesión aún sea válido (no caducado, revocado o eliminado), los usuarios pueden volver a Twitter sin volver a iniciar sesión en cada momento
Revocar estos tokens de sesión, como dijo Twitter, asegura que los atacantes que han logrado interceptar los tokens no pueden acceder a su cuenta. Teniendo en cuenta la cantidad de malware para robar datos que recolecta cookies de computadoras infectadas, restablecer el token es inconveniente para los usuarios (por tener que volver a iniciar sesión) pero es efectivo para mantener alejados a los atacantes.
Las aplicaciones pueden iniciar sesión
Sin embargo, hay informes de que algunos de los tokens utilizados por aplicaciones de terceros no se vieron afectados. La creación de una nueva contraseña después de recibir la notificación de reinicio no impidió que las propias aplicaciones móviles o clientes de escritorio de Twitter, como TweetDeck, enviaran nuevas publicaciones, informó The Register. Nuestro propio Max Eddy dijo que tuvo que cambiar las contraseñas de sus cuentas de Twitter durante el fin de semana, pero ninguna de las aplicaciones de terceros que utilizó lo impulsó a actualizar la contraseña con la nueva.
Las aplicaciones que usan la API de Twitter generalmente dependen de OAuth, un estándar abierto para la autenticación en múltiples sitios. Los tokens de sesión revocados por Twitter no parecen haber afectado las aplicaciones que usaban OAuth para manejar la autenticación. Una persona le dijo a The Register que las aplicaciones no solicitaron la nueva contraseña hasta que se eliminó y se volvió a instalar.
"Cuando se cambia una contraseña en un dispositivo y tiene otros dos dispositivos conectados con la contraseña anterior (por ejemplo), el proveedor debe finalizar todas las sesiones abiertas para la cuenta dada", dijo Sean Duca de McAfee a The Register.
Las aplicaciones que utilizan OAuth reciben una clave de sesión criptográfica la primera vez que se autentica con el servicio web y envía las claves en visitas posteriores, dijo a SecurityWatch Cesar Cerrudo, CTO de IOActive Labs. Esto permite que aplicaciones de terceros trabajen con el servicio en cuestión sin enviar repetidamente la información de la contraseña.
Cerrudo aún no había mirado esta situación particular, por lo que no ofreció ninguna suposición sobre lo que estaba sucediendo. SecurityWatch se ha comunicado con Twitter sobre cómo trata las sesiones de OAuth y está esperando recibir una respuesta.
Por política, Twitter no "caduca actualmente los tokens de acceso", según la orientación de la compañía a los desarrolladores sobre el uso de OAuth. "Su token de acceso no será válido si un usuario rechaza explícitamente su aplicación desde su configuración o si un administrador de Twitter suspende su aplicación", dice la guía.
Este sería el segundo incidente relacionado con OAuth con Twitter en las últimas semanas. Cerrudo recientemente llamó a Twitter por no notificar a los usuarios sobre un problema de permisos que había solucionado en silencio.
Para obtener más información de Fahmida, síguela en Twitter @zdFYRashid.
