El día de ayer nuevamente vivimos una turbulenta jornada en Twitter - uno de los servicios estrella de la red de redes - por culpa de un fallo de seguridad bastante serio (a la par que simple) que permitía inyectar código JavaScript en los tweets, gracias a lo cual se podían hacer toda clase de maldades (por suerte no llegó a suceder nada realmente serio como una infección masiva de malware o similares).
“Buenos, estas cosas pasan” pensarán algunos. Efectivamente es completamente normal que cualquier servicio de la red o programa tenga fallas de seguridad, pero Twitter ya superó hace tiempo el límite de lo aceptable respecto a seguridad, y para sustentar con hechos esa crítica - que a priori puede sonar demasiado dura - ahí van cinco de los fallos de seguridad más sonados (por graves o curiosos) que ha sufrido Twitter en el último año y medio aproximadamente.
Entregando mensajes directos “al tum tum”: tal cual suena. En varias ocasiones Twitter ha entregado mensajes directos a destinatarios que no correspondían. Por suerte personalmente nunca lo he sufrido pero sí otros, a quienes obviamente no les hizo ninguna gracia.
El XSS de David Naylor: de este fallo se habló bastante y ahora entenderéis por qué. Resulta que David Naylor descubrió una vulnerabilidad en Twitter del tipo cross-site scripting y la reportó a Twitter. Nada raro hasta aquí. La cosa se desmadró un poco cuando los de la red social aseguraron que lo habían arreglado pero no fue así, la vulnerabilidad seguía existiendo ya que la solución implementada por Twitter era una chapuza.
¿Que no me sigues? Pues ya hago yo que si: probablemente este caso lo recodéis casi todos. Por el mes de mayo un usuario de Twitter fanático de la banda de rock Accept escribió un tweet en su cajón de texto que ponía “accept pwnz”. La sorpresa llegó cuando le dio a enviar ya que en vez de aparecer el tweet en el timiline notó que automáticamente el usuario @pwnz le empezó a seguir. Sí, acababa de descubrir un bug el cual permitía a cualquiera forzar la aparición de su usuario entre los seguidores de cualquier otro.
¿Solo 140 caracteres?: es sabido por todos que Twitter permite como máximo utilizar 140 caracteres en cada tweet. Pues bien, este mes de agosto la red social de microblogging se llenó de tweets bastantes más largos. ¿Qué pasaba? Lo de siempre, que un usuarios descubrió un bug en el nuevo acortador de URLs mediante el cual se podían escribir mensajes de más de 2.000 caracteres de extensión.
Más XSS y acortadores de URLs: varios bugs del tipo XSS se han encontrado en Twitter hasta la fecha como hemos visto, y el último llegó este mismo mes de septiembre. Concretamente el fallo permitió robar las cookies de aproximadamente 117 mil usuarios que picaron en un enlace acortado con bit.ly el cual aparentemente parecía legítimo.
Y dicho todo esto, me gustaría aclarar dos cosas antes del punto y final. Por un lado soy completamente consciente de que Twitter es un servicio gratuito, pero creo que eso no es justificación para que, como ha quedado demostrado, tengan tantos, y tan graves, fallos de seguridad. Por el otro el principalmente objetivo de este post no es ni mucho menos perjudicar a Twitter sino lo contrario, refrescar memorias para que el nivel de crítica constructiva (y leás eso de constructiva en letras bien grandes), al que el servicio tanto le debe, no decaiga.