Dudas Existenciales (58)

Gabolonte Blasfemus

Un fin de semana agitado para Twitter y sus usuarios

image Así como desde hace mucho tiempo se sabe de los peligros de las aplicaciones maliciosas que cada tanto rondan por Facebook, ahora le tocó por primera vez, y sin tener ningún complejo soporte para aplicaciones, el turno a Twitter, la otra estrella fulgurante de este gallinero global que se llama la web social. Dos gusanos conocidos como StalkDaily y Mikeyy, nombres derivados de las URLs que figuraban en los perfiles infectados, fueron los responsables de poner en duda la supuesta seguridad que podía asumirse de un sitio en el que sólo es posible postear cadenas de texto de hasta 140 caracteres. El agujero de seguridad estaba en una “característica” de Twitter que muy pocos conocíamos (y me incluyo): La capacidad de incluir scripts dentro de la página de perfil de una cuenta. Gracias a esto fue posible incluir código javascript malicioso que, mediante un ataque XSS, permitía tomar el control del perfil de usuario de Twitter registrado en el navegador que visitaba uno de estos perfiles infectados, permitiendo que así se modifique e infecte su propia página de perfil y a su vez se envíen twits con spam desde dicha cuenta. En Spamloco pueden encontrar mucha más información detallada sobre lo acontecido, así como consejos y precauciones a tomar frente a esta nueva amenaza.

El punto es que ante la embestida de StalkDaily este pasado sábado, Twitter dijo haber tomado las medidas necesarias para mitigarlo, y aún así, al otro día nos encontramos con Mikeyy, el cual hace básicamente lo mismo. Esto implicaría que las “medidas” de Twitter tal vez no hayan pasado de un mero bloqueo a las URL involucradas en la infección, y por tanto, mi humilde inquietud es: ¿Por qué cuernos no impide Twitter simplemente de raíz la posibilidad de incluir cualquier tipo de script en sus campos de configuración de cuenta? Para una aplicación web cuyo principal valor esta en la interacción generada desde microposts de 140 caracteres de texto, ¿es realmente relevante incluir esta función y exponer así la seguridad de toda su comunidad de usuarios? <conspiranoic mode=on>¿Existe algún oscuro motivo para esto?</conspiranoic mode=off>

Qué alegre estoy de usar Twitter desde TweetDeck


Comments are closed.