data:newerPageTitle data:olderPageTitle data:homeMsg

jueves, 8 de enero de 2009
8:06:00

Por cada comentario que haces, Dios salva un gatito

Y ahora le toca el turno a Twitter…. para ser hackeado


twitter No por ser un servicio archiconocido y usado por casi todo el mundo implica que sea invulnerable. Ya se demostró hace un tiempo en este blog, y con el par de sucesos que le han ocurrido en este Enero al servicio de micro-blogging twitter, podremos añadir un ejemplo más a la primera frase de este post.

En lo que llevamos de 2009, el servicio ha sido víctima de dos tipos de ataques conocidos ya por todos: phishing y obtención de credenciales mediante ataque por diccionario. El primero de ellos, reportado por su blog el sábado día 3 de Enero, se hacía eco de un phishing por el cual una gran cantidad de usuarios recibieron un mensaje privado (dm o direct message) en el que se les instaba a visitar una página, que contenía el login al servicio idéntico, robando así las credenciales de todo aquel que introduciese sus datos. La página se encontraba situada en http://twitter.access-logins.com/login/.

watch_out

Rápidamente el servicio alerta a los usuarios de que hagan caso omiso a estos mensajes privados, y la cosa queda ahí, o eso se creía. El lunes, 5 de Enero, nuevo post en el blog de twitter, con un título alarmante, "monday morning madness". La palabra madness y monday siempre suelen ir asociadas en nuestra vida cotidiana, pero en este caso, el tema pintaba mal: 33 cuentas del servicio habían sido comprometidas, y no cuentas cualesquiera...entre ellas se encuentran las de Britney Spears, Barack Obama, periodistas de renombre en Estados Unidos, etc. Para más inri, las causas no tenían relación alguna con el caso de phishing de dos días antes. En este caso, el "hack" lo llevó a cabo una única persona, un joven con nick GMZ, el cual pudo acceder a las herramientas administrativas que están disponibles para los miembros del staff. Más concretamente, las de la usuaria Crystal. Digo concretamente, pero el objetivo resulto ser fruto de la casualidad. Según las declaraciones del "hacker", la elegió como víctima simplemente porque la veía "followeada" por muchísima gente, por lo que debía tratarse de una persona de gran repercusión en la red. Y tanto, al final resultó ser del propio staff...

Mediante un script propio con un simple ataque de diccionario contra su cuenta, consiguió la contraseña (si si amigos, twitter tampoco tenía limite de intentos por logins fallidos...) de Crystal, que era happiness, accediendo por completo a su perfil personal, y por sus privilegios dentro de twitter, herramientas administrativas, entre las que se encuentran, la posibilidad de resetear cualquier contraseña de cualquier usuario de twitter. Ahora viene lo más peliculero de todo. Ya después de su gran hazaña, en vez de suplantar y resetear el mismo las cuentas, simplemente abrió un post en su foro Digital Gangster (típico foro underground de temática hacking) aceptando peticiones sobre a que cuentas querían acceso el resto de usuarios. El daba la llave, los demás, la podían liar parda y campar a sus anchas en el perfil de cualquiera.

Y claro con esa libertad...pues a por cuentas de famosetes, y a poner mensajes de todo tipo, que si "estoy hasta arriba de crack y en pelotas", que si "mi programa de televisión es una basura"...etc etc. Actualmente ya se están llevando a cabo medidas para solventar todos los fallos que han ocasionado este caos, sobretodo con la implantación de un mecanismo de autenticación algo más seguro. En el siguiente video, aunque con malísima calidad, podréis ver un video colgado por la revista Wired y realizado por el propio GMZ demostrando la vulnerabilidad.

Twitter Hack

[+] Weak Password Brings 'Happiness' to Twitter Hacker (Wired)

El presente artículo NO ha sido modificado en su contenido pero si se le han agregado enlaces para complementar la información. Eventualmente también se han agregado imágenes o modificado las existentes, y en algunos casos variado la diagramación así como prescindir de algunas o todas las imagenes originales (no siempre). También puede haberse resaltado algunos segmentos que considero importantes o interesantes a criterio personal. Para ver el artículo original por favor hacer uso del apartado Fuentes que se incluye al final de este post.

____________________________
Artículo Fuente : Enero negro para twitter
Autor / Publicado por : José A. Guasch
Web Site / Blog : Security By Default


*****

0 comentarios:

Haznos saber tu opinión

Todo comentario es bien recibido. Pero debes de tener en consideración los siguientes puntos:
1. No se permitirán insultos.
2. No se permitirá comentarios únicamente con publicidad. En todo caso te sugiero enviar un mensaje privado para ver el tema.
3. No se permitirá ningún tipo de ataque, agresión ni apologías de ningún tipo que inciten a la violencia o reacciones violentas. Se puede criticar y entablar debate sin necesidad de agredir a nadie.
4. No se permitirá ningún tipo de discriminación, segregación ni racismo.

Todos los comentarios serán sujetos a moderación, así que por favor les pido un poco de paciencia. Muchas gracias por comentar en este blog.



Coméntalo en Facebook

data:newerPageTitle data:olderPageTitle data:homeMsg

Publicados en esta categoría...

Suscribete a De Copy and Paste