28 abril 2009

Hace pocas semanas, un joven newyorkino de 17 años creó un gusano que sembró el pánico en Twitter. El exploit explotaba la vulnerabilidad de tipo cross-site scripting creando miles de tweets automáticos desde las cuentas infectadas.

Mensajes como estos se podían ver publicados en distintos perfiles de la red social:

Twitter, this sucks! Fix your coding.
Twitter Security Team Really? You need to be fired.
Horrible Coding!

Según comenta el joven Mikkey, lo hizo por mero aburrimiento y por su buena fé reportó el problema a Twitter. Aunque dicen las malas lenguas que trataba de demostrar que su site StalkDaily.com erá mejor que el original.

Ya hablamos anteriormente sobre el hecho de contratar a un convicto y no faltó tiempo para que le ofrecieran dos ofertas de trabajo para realizar análisis de seguridad en empresas de desarrollo web. La empresa afortunada ha sido exqSoft Solutions. También se comenta que la empresa pretendía hacerse autobombo contratando al joven genio.

No es la primera vez que Twitter tiene problemas de seguridad, ya comentamos en el blog que fue un enero negro para Twitter, entre el phishing y el robo de credenciales mediante ataque de diccionario. Después en marzo salió otro ataque por virus via XSS que forzaba a los usuarios logados a postear mensajes simplemente pinchando en un link.

Twitter, da la sensación de ser muy poco robusto y no paran de salirle bugs. Si comparamos el historial de Twitter con cualquier servicio de Google, la diferencia deja muy mal parado al servicio de micro blogging. Entre esto y detalles como cambiar sobre la marcha de Ruby-On-Rails a SCALA, Twitter da la sensación de tener un grado de 'amateurismo' superior a cualquier proyecto universitario colgado en sourceforge.

3 comments :

Anónimo dijo...

A eso en mi pueblo lo llamamos ser unos paquetes. De todas formas siempre he mantenido la misma opinión sobre cualquier servicio gratuito: si no te gusta, no lo uses.

Anónimo dijo...

@Anonimo: cierto!, aún así pienso que hasta los servicios gratuitos, después de su puesta en producción, deberían tener un plan de continuidad. Basta con un pequeño análisis de debilidades, sobre todo si atacan a la confidencialidad, y asi poder mejorarlo.

Salu2

Laura García dijo...

@Anonimo: cierto!, aún así pienso que hasta los servicios gratuitos, después de su puesta en producción, deberían tener un plan de continuidad. Basta con un pequeño análisis de debilidades, sobre todo si atacan a la confidencialidad, y asi poder mejorarlo.

Salu2