08 enero 2009

Enero negro para twitter

No por ser un servicio archiconocido y usado por casi todo el mundo implica que sea invulnerable. Ya se demostró hace un tiempo en este blog, y con el par de sucesos que le han ocurrido en este Enero al servicio de micro-blogging twitter, podremos añadir un ejemplo más a la primera frase de este post.

En lo que llevamos de 2009, el servicio ha sido víctima de dos tipos de ataques conocidos ya por todos: phishing y obtención de credenciales mediante ataque por diccionario. El primero de ellos, reportado por su blog el sábado día 3 de Enero, se hacía eco de un phishing por el cual una gran cantidad de usuarios recibieron un mensaje privado (dm o direct message) en el que se les instaba a visitar una página, que contenía el login al servicio idéntico, robando así las credenciales de todo aquel que introduciese sus datos. La página se encontraba situada en http://twitter.access-logins.com/login/.


Rápidamente el servicio alerta a los usuarios de que hagan caso omiso a estos mensajes privados, y la cosa queda ahí, o eso se creía.

El lunes, 5 de Enero, nuevo post en el blog de twitter, con un título alarmante, "monday morning madness". La palabra madness y monday siempre suelen ir asociadas en nuestra vida cotidiana, pero en este caso, el tema pintaba mal: 33 cuentas del servicio habían sido comprometidas, y no cuentas cualesquiera...entre ellas se encuentran las de Britney Spears, Barack Obama, periodistas de renombre en Estados Unidos, etc. Para más inri, las causas no tenían relación alguna con el caso de phishing de dos días antes.

En este caso, el "hack" lo llevó a cabo una única persona, un joven con nick GMZ, el cual pudo acceder a las herramientas administrativas que están disponibles para los miembros del staff. Más concretamente, las de la usuaria Crystal. Digo concretamente, pero el objetivo resulto ser fruto de la casualidad. Según las declaraciones del "hacker", la elegió como víctima simplemente porque la veía "followeada" por muchísima gente, por lo que debía tratarse de una persona de gran repercusión en la red. Y tanto, al final resultó ser del propio staff...

Mediante un script propio con un simple ataque de diccionario contra su cuenta, consiguió la contraseña (si si amigos, twitter tampoco tenía limite de intentos por logins fallidos...) de crystal, que era happiness, accediendo por completo a su perfil personal, y por sus privilegios dentro de twitter, herramientas administrativas, entre las que se encuentran, la posibilidad de resetear cualquier contraseña de cualquier usuario de twitter.

Ahora viene lo más peliculero de todo. Ya después de su gran hazaña, en vez de suplantar y resetear el mismo las cuentas, simplemente abrió un post en su foro Digital Gangster (típico foro underground de temática hacking) aceptando peticiones sobre a que cuentas querían acceso el resto de usuarios. El daba la llave, los demás, la podían liar parda y campar a sus anchas en el perfil de cualquiera.

Y claro con esa libertad...pues a por cuentas de famosetes, y a poner mensajes de todo tipo, que si "estoy hasta arriba de crack y en pelotas", que si "mi programa de televisión es una basura"...etc etc.

Actualmente ya se están llevando a cabo medidas para solventar todos los fallos que han ocasionado este caos, sobretodo con la implantación de un mecanismo de autenticación algo más seguro.

En el siguiente video, aunque con malísima calidad, podréis ver un video colgado por la revista Wired y realizado por el propio GMZ demostrando la vulnerabilidad.



[+] Weak Password Brings 'Happiness' to Twitter Hacker (Wired)

3 comments :

dGil dijo...

Me parece increible. Tanto el hecho de que alguien del staff tenga una contraseña tan básica como happiness, como el hecho de que twitter permita un ataque por diccionario -vamos, que no haya un límite de intentos-.

Un saludo.

José A. Guasch dijo...

Parece ser que, como ocurrió con la versión digital de La Vanguardia,

http://www.lavanguardia.es/internacional/noticias/20090106/53612189933/hackers-atacan-las-cuentas-de-twitter-de-obama-y-britney-spears.html

se ha vuelto ha juntar lo del phishing con lo de las cuentas de famosos, cuando ya se ha confirmado que no tuvo nada que ver, esta vez en diarioTI:

http://www.diarioti.com/gate/n.php?id=20905

Asfasfos dijo...

Twitter, follower, twitter, follower...jajaja!!!

La verdad es que me parece impresionante que ocurran estas cosas hoy en dia. Como un admin puede tener una contraseña de ese estilo, ni mayusculas, ni números, ni nada!!!