Encuentran una falla de seguridad en Twitter

Un desarrollador encontró un “agujero” de seguridad en Twitter que permite a terceros, a través de aplicaciones hechas en OAuth, acceder a los mensajes directos de los usuarios, con o sin su permiso.

El sistema funciona así: cuando damos acceso a nuestra cuenta a una aplicación que utilice una API (interfaz de programación) OAuth se nos dice lo que podrá o no hacer este servicio sobre nuestra cuenta, dependiendo de la configuración que utilice el desarrollador.

Aunque el desarrollador considere que no es necesario acceder a los mensajes directos, y que en la pantalla del usuario se informe que no se accederá, la aplicación hecha en OAuth ingresa igual.

Justamente, según informa el sitio ALT1040, fue Simon Colijn un desarrollador quien probó la falla: creó una aplicación, la cual al pedir conexión a nuestra cuenta indica que no tendrá acceso a los mensajes directos. Pero, al contrario, una vez hecha la conexión con la cuenta se pueden ver los mensajes del usuario, tanto los que envió como los que recibió.

El autor del artículo además afirma que esto habría ocurrido por una actualización que hicieron en Twitter con las pantallas de autorización, que vendría con otros modelos de acceso a las cuentas más restrictivo, esto último se demoró y como resultado la información que recibe el usuario es errónea.

Aunque Twitter fue alertada por esta falla de seguridad en las API de OAuth, desde las oficinas de la red social hasta el momento no dieron ningún tipo de respuesta. El único consejo, tener cuidado con las aplicaciones.

Fuente: El Argentino – Enlace

 

Acerca de Dirección de Protección de Datos Personales
La Defensoría del Pueblo, por ley 1845, ha sido designado órgano de control del asiento, uso y difusión de las bases de datos personales del sector público de la Ciudad de Buenos Aires garantizando el derecho al honor, la intimidad y la autodeterminación informativa. Con el objeto de cumplir con las funciones asignadas, la Defensoría del Pueblo ha creado el Centro de Protección de Datos Personales. Toda persona que presuma o tenga la certeza de que sus datos figuran en alguno de los bancos de datos personales puede ejercer su derecho de información, acceso, rectificación, actualización o supresión. Estamos en Piedras 574, 5º piso, C.A.B.A., teléfono 54-11-4338-4900, int. 7451 / 7452. Mail: cpdp@defensoria.org.ar, sitio web: www.cpdp.gov.ar

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: