lunes, 16 de enero de 2012

¿Enorme fallo de seguridad en Twitter?


Esta mañana, cuando iba a realizar un cambio de la contraseña en una cuenta de Twitter, me he dado cuenta de lo que parece un gran fallo de seguridad de dicha red social.

Desde el ordenador, y entrando en la página oficial de Twitter, he cambiado la contraseña de la cuenta @RioHenares. Cuando unas horas después he ido a modificar la contraseña en la App de Twitter de mi teléfono móvil (iphone) me he llevado la sorpresa de que podía seguir escribiendo y utilizando Twitter sin actualizar la contraseña.


Una de las pruebas que he realizado desde el móvil con la contraseña antigua

Posteriormente lo he comprobado varias veces, volviendo a cambiar las contraseñas, con el mismo resultado. También he probado a utilizar Tweetdeck desde el ordenador, y (de nuevo) ¡sorpresa! También puedo seguir escribiendo con mi vieja contraseña.

Escribí un DM (Mensaje Directo) a la cuenta de Ayuda y Soporte de Twitter (@ayuda), pero todavía no he obtenido respuesta.

 El mensaje que he mandado a Twitter, a la espera de respuesta.

Si se confirma este fallo de seguridad Twitter tendrá que hacer algo rápidamente para corregirlo, puesto que este no es un fallo menor. Las empresas que hayan tenido contratado a alguien para llevarle sus redes sociales (Community Manager o similar) podrían perder el control de lo que se publica en su Time Line (TL).

Por poner un ejemplo. Si pepsi cambiara de Community Manager, podría encontrarse cualquier día con que se ha recomendado desde su cuenta beber Coca-Cola.

 Se podría producir alguna "anécdota" como esta que circula por la web

¿Alguien puede comprobar si le sucede algo parecido? Me extraña mucho no haber encontrado ninguna mención a este tema en internet.

¡Un saludo!


ACTUALIZACIÓN 17-1-2012:


Tras la publicación ayer de este post, he tenido la oportunidad de recibir aportaciones de mucha gente, y completar el rompecabezas que me animó a escribir el caso. Paso a resumirlo.

Como bien comenta Ignacio SMF  las aplicaciones (o App) no guardan la contraseña que utilizas para abrir sesión en Twitter, si no que se utiliza el "token" o "bastón" de permiso, una especie de llave que sirve precisamente para que las aplicaciones externas no puedan acceder a tu contraseña.

He encontrado un post en el blog Zona Twittera que explica este aspecto: “Frente al surgimiento de cientos de aplicaciones para Twitter, desde hace un tiempo Twitter decidió ajustar su sistema de seguridad con la autorización del acceso a sus servicios desde programas externos.”

De esta forma, para revocar el acceso a cualquier aplicación basta con hacerlo en Configuración > Aplicaciones, o lo que es lo mismo: https://twitter.com/settings/applications
 
Mensaje recibido de Soporte y Ayuda de Twitter

Esto bastaría para la gente que use Twitter con su cuenta personal. Sin embargo, y esto es importante, si somos una organización, y lo que queremos es que gente que tenía permiso para entrar en la cuenta ya no puedan acceder hay que hacer 2 cosas. Cambiar la contraseña y revocar el acceso a la aplicación. Una vez hecho esto ya puedes volver a permitir el acceso a App con la nueva contraseña.

16 comentarios:

JonhyLaFarm dijo...

Eso no es reciente, y ya tiene solucion tu tienes control de tus cuentas de twitter en la misma configuracion.

En settings > Applications.

Lo unico que debes hacer es dar revoke access, esto desde la utilizacion del oAuth para evitar dar tu contraseña a aplicaciones creadas por terceros entonces se dan permisos y estos no cambian al cambiar tu contraseña.

Ignacio SMF dijo...

Es completamente normal porque las aplicaciones no guardan la contraseña sino el "token" o "bastón" de permiso.

De esta forma se impide que tu contraseña pueda ser localizada.

Si quieres anular el acceso a cualquier aplicación es tan sencillo como ir a https://twitter.com/settings/applications y quitarlas.

De esta forma sólo con la contraseña nueva puedes idetificarte y volver a permitir el acceso a esa aplicación.

Espero haberte ayudado,

saludos

Ignacio

Ofertas ADSL dijo...

Probáblemente sea lo mismo que le pasó al @PSOE

http://chistesderisa.org/2012/01/el-tweet-cagada-del-psoe/

Roberto Ruiz dijo...

Muchas gracias Jonhy e Ignacio. Me he quedado alucinado cuando me ha pasado.

Voy a recoger más información e intentaré actualizar el post.

¿Se puede discriminar en una misma aplicación quien entra y quien no? es decir, varias personas (CM) usan, por ejemplo, a través del móvil la cuenta. Si tu quieres anular el acceso de sólo una de ellas, ¿eso se podría hacer?. Porque por lo que veo al revocar el acceso a la aplicación lo restringes para todos.

Gracias

Anónimo dijo...

Hola, me paso lo mismo, cambie contraseña y desde mi iPhone podía ingresar con contraseña vieja, pasaron un par de días y pude ingresar con contraseña nueva en ambos equipos.
Jessylo

juan-capristan dijo...

Hola Roberto, como dice Ignacio, es normal y no un problema (como parece querer decir Johny afirmando que "ya está corregido"). La contraseña es sólo de acceso a Twitter a través de la web, las aplicaciones de terceros utilizan "llaves" que se asignan a cada aplicación precisamente para que esos terceros no puedan conocer tu contraseña, sino que tienen un permiso de acceso a tu cuenta que tú se lo puedes quitar cuando quieras sin afectar al resto de aplicaciones con las que accedes a twitter. Es un comportamiento premeditado.

Anónimo dijo...

De todas maneras, aunque las aplicaciones no guarden la contraseña y se comuniquen con Twitter mediante un "token", no deja de ser un problema de seguridad, puesto que lo mencionado por el autor sobre el caso de un Community Manager despedido que puede seguir teniendo control sobre lo que se publica es un fallo de seguridad a tener en cuenta. Creo que lo importante no es que no se pueda saber la contraseña, sino el acceso a la información publicada. Para mi, lo segundo es más grave.

Roberto Ruiz dijo...

Muchas gracias por las aportaciones. Entre los datos que me han comentado vía Twitter y los de aquí mañana intenatré actualizar el post con toda esa información.
Además me acaban de contestar de soporte Twitter:

"Además de cambiar la contaseña debes revocar el acceso a las aplicaciones móviles en Configuración > Aplicaciones"

Saludos!

Anónimo dijo...

No es por ser majadero, pero creo que Twitter debería revisar sus políticas de privacidad. No creo que desde el punto de vista técnico sea difícil para ellos hacer una revocación automática de permisos al hacerse un cambio de contraseña. Además, no todos los usuarios saber cómo debe hacerse este proceso y se supone que debiera ser algo transparente.

Sigo pensando que aquí hay un fallo en la lógica de seguridad.

alvizlo dijo...

Buenas Roberto,

Interesante debate el que has liado. Por polemizar un poco más, esto no deja de ser una muestra de lo importante que es plantearse la estrategia en redes antes de llevarla a cabo. Las organizaciones no tuitean, lo hacen empleados.

Pagar a alguien para que hable bien de una empresa tiene sus riesgos. Ceder privilegios sobre nuestra identidad digital tienes sus riesgos.

Hay que ser conscientes de todo ello y, como usuarios, plantearnos si merece la pena conectar todos los dispositivos y aplicaciones a una herramienta que juega un papel clave en nuestra identidad digital. ¿Qué recibimos a cambio? ¿Merece la pena?

En cuanto a las organizaciones ¿por qué se gastan el dinero en emplear a gente que maneje cuentas corporativas si, permitiendo un uso natural de la red en horario laboral, podrían tener presencia a través de sus empleados, clientes, proveedores...?

El problema no es de la herramienta social: hay empleados que prefieren los refrescos de la competencia.

Roberto Ruiz Robles dijo...

Creo que se tenderá, poco a poco, a eso que tu comentas Alberto. Cada vez más usuarios están aprendiendo a usar las herramientas 2.0 y también, cada vez más las organizaciones están animando a sus trabajadores a utilizarlas.

Anónimo dijo...

Hola, Roberto.

Nos ha pasado esto mismo a un grupo grande de compañeros que tenemos un twitter grupal: alguien se ha cabreado y no podíamos cerrarle el acceso.

Ya está arreglado. Gracias.

Pero mi pregunta es:

1- cambio contraseña
2- revoco permisos

¿Y dejo los permisos revovados o los vuelvo a abrir?

A ver si aunque la entrada sea vieja me lees y me sabes decir.
De nuevo, gracias.

Toni.

Anónimo dijo...

No consigo, no sé por qué, mandarte un MD desde nuestro Twitter.

Es este:

https://twitter.com/Preven_IIFF_CV

Toni.

Roberto Ruiz Robles dijo...

Hola Toni,

Con los pasos que has seguido ya no deberíais volver a tener problemas. Tras revocar los accesos (habiendo cambiado la contraseña previamente)ya puedes ir accediendo de nuevo a la cuenta con las aplicaciones que quieras (una a una), al entrar en ellas por primera vez te pedirá la contraseña para poder acceder.

No sé muy bien porque no podiais mandarme MD en Twitter porque he comprobado que os estaba siguiendo. Puede que estuviérais intentando incluir una url en el mensaje, cosa que Twitter no deja.

Un saludo

Anónimo dijo...

Vale, Roberto, al cambiar de contraseña, revocar y salir, al volver a entrar ya con la nueva contraseña ya no hubo problema.

Luego probaré a mandarte MD otra vez a ver si funciona.

Muchas gracias por todo y saludos desde la Comunidad Valenciana.

Roberto Ruiz Robles dijo...

Me alegro que la entrada os sirviera de ayuda.

Un saludo!

Roberto