Social Media

Twitter conocía el fallo de seguridad

El fallo de seguridad que provocó una explosión de retweets potencialmente peligrosos había sido descubierto por Twitter hace casi un mes. Pero una actualización, que ha coincidido con la nueva Twitter.com, lo ha traído de vuelta sin que la compañía hiciera nada para remediarlo, poniendo en riesgo a los usuarios de su web.

En su explicación han reconocido que “descubrimos y parcheamos el problema hace un mes. Sin embargo, una actualización reciente del sitio (que no está relacionada con el nuevo Twitter) lo trajo de vuelta sin que lo supiéramos”. De hecho, el 23 de agosto un desarrollador de front-end de Twitter publicó el código que hace de parche para este problema en github.

La brecha permitía introducir código JavaScript tras la @, de modo que un primer tweet permitió ejecutar cross-site scripting (XSS), es decir, que permitió introducir en Twitter.com código externo y no verificado en forma de texto plano que podía ser ejecutado en el navegador de otros usuarios.

onMouseOver no ha provocado daños

La parte positiva de este fallo de seguridad es que no ha provocado ningún daño. Twitter afirma no haber recibido ningún informe de problemas causados a ordenadores y dispositivos personales ni de robos de datos personales. Por eso no recomienda un cambio de contraseña por parte de los usuarios.

Según sus investigaciones, onMouseOver, que así se llama porque se activaba en forma de pop-up con tan sólo situar el ratón sobre el código, ha sido utilizado únicamente con motivos promocionales e incluso como forma de entretenimiento. Pero ha incomodado a los miembros de la red de microblogging y deteriorado su uso. En el pico máximo de propagación, durante el 21 de septiembre, se alcanzaron los 100 tweets por segundo.

Pero, directivos de Twitter, ¿era necesario poner en riesgo a los usuarios para encontrar el momento de arreglar un viejo bug?

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.