02 abril 2012

TweetDeck, cuando la privacidad brilla por su ausencia

Muchos somos las personas que hacemos uso de aplicaciones de terceros para acceder a redes sociales como Facebook o Twitter. Si bien nos aportan nuevas funcionalidades, no somos conscientes de que estamos supeditando la seguridad de nuestras cuentas a la gestión que hagan estas empresas de ella.

Desde hace más de una semana, algunos usuarios de TweetDeck (que en este caso no se trata ni de una aplicación de terceros puesto que fue comprada por Twitter antes de la última actualizacíón) han visto como en sus perfiles aparecían enlazadas las cuentas de otras personas totalmente desconocidos para ellos. Esto implicaba que podían twittear, acceder a los mensajes privados y cualquier otra acción que quisieran realizar sobre la cuenta.


En este caso, al ser un fallo del lado de TweetDeck, el acceso a las cuentas se producía en todas las plataformas, ya sea la aplicación de escritorio o las disponibles para iOS y Android.


El 28 de marzo se notificó a TweetDeck y finalmente ayer por la noche por fin tomaron medidas al respecto bloqueando el servicio durante aproximadamente 8 horas.



Si observabamos la petición que realizaba la aplicación de, por ejemplo iOS (si no estáis familiarizados con el proceso os recomiendo que leáis la explicación que hizo Alex al respecto), podemos observar como, al autenticarse correctamente en el servicio, éste devuelve los tokens de acceso de la cuenta legítima y de otras sin ninguna relación con el usuario:



No fue hasta la mañana de ayer domingo cuando las cuentas afectadas (al menos las que estaban bajo nuestro control) volvieron a funcionar correctamente. Aun así, recomendamos que revoquéis el acceso de la aplicación de TweetDeck en vuestras cuentas de las redes sociales a las que lo tuviérais enlazado, para evitar que, si tu cuenta ha aparecido en perfiles ajenos, puedan seguir entrando al servicio (según la documentación de Twitter, es la única manera de invalidar los tokens se acceso); posteriormente, la volvéis a autorizar para poder seguir utilizando este servicio.

Por lo tanto, queda demostrado como, al hacer uso de servicios de terceros, vemos incrementada la posibilidad de ver comprometidas nuestras cuentas de redes sociales.

Agradecer a @akae por toda la ayuda (que es más de la que parece) :)

Artículo cortesía de Luis Delgado

3 comments :

Francisco dijo...

Lamentable. Sin palabras...

Rafa AKAE dijo...

De momento siguen sin decir nada más al respecto. Lo considero un fallo grave y agradecería que Twitter dijera qué ha pasado y quién se ha visto afectado, porque igual que yo podía acceder a información privada de otras cuentas, otros usuarios podrían haber accedido a la mía sin que yo lo supiera. Me molesta tanto el fallo como el secretismo alrededor del mismo.
Gracias Luis y @secbydefault por meter caña con el asunto!

Madrikeka dijo...

Luego dicen que si soy paranoica.....XD

Desde luego, cada vez tienen menos cuidado con estas cosas.