Bienvenido(a) a Grupo Linuxero del Bajío miércoles, marzo 20 2019 @ 06:05 CET

Ataque a twitter

  • Autor:
  • Lecturas 1,043
Seguridad

Ayer me levanté con un par de correos de Twitter en mi buzón:

Dear Twitter User:

As a precautionary security measure, we have reset your Twitter
account password. [..]

This attack was not the work of amateurs, and we do not believe it was
an isolated incident. The attackers were extremely sophisticated, and
we believe other companies and organizations have also been recently
similarly attacked.

Y también colgaron un blog post con más información.

Leyendo en hacker news, al parecer sólo pudieron "descargar" las primeras 250,000 cuentas creadas. La mía la abrí en febrero del 2007 y me tocó la rifa del tigre.

Lo bueno es que Twitter es responsable y no almacena las contraseñas planas, sino cifradas (hash+salt). Lo que los crackers tuvieron acceso fue a nombres y direcciones de correo válidas que, tal vez, pudieran ser usadas luego para spamming. Aunque, con una copia local de las contraseñas cifradas, el proceso de decodificación por fuerza bruta, es muy más ágil. Es por esto que Twitter borró as contraseñas y pidió que los usuarios crearan una nueva. Algunas personas vinculan este ataque a estados totalitarios, ya que mucha gente utiliza Twitter como plataforma de activismo político.

El vector de ataque, algunos suponen por el contenido del blog post antes mencionado, es que la computadora de un sysadmin de Twitter fue crackeada a través de últimos agujeros de seguridad encontrados en Java y, de ahí tuvieron acceso a los servidores.

¿Moraleja? Desactiven Java del navegador. Nadie necesita esa mierda. Personalmente, como uso iceweasel (bueno, está bien, firefox para los no-debianitas), uso una extensión llamada noscript, la cual bloquea todo javascript, flash, java, etc., de una página, que no haya yo activado explícitamente.

Por último, en cambiando levemente de tema, Ruby On Rails tiene un agujero de seguridad del tamaño del de la capa de ozono. Y al parecer, es un error de diseño, al permitir la deserialización de código arbitrario y su ejecución fuera de un entorno seguro.