Los datos de lo que inicialmente eran más de 55.000 cuentas de diferentes usuarios de Twitter han sido comprometidos y publicados incluso en Pastebin (http://pastebin.com). Finalmente, debido a la duplicidad de cuentas, el número total de usuarios que han visto como no podían acceder a su cuenta de Twitter ha sido de unos 34.000. Apenas un 0,007% del total de cuentas de usuario de que dispone la red Twitter en la actualidad (más de 465 millones de usuarios en todo el mundo) pero un dato significativo que ha obligado a Twitter a bloquear dichas cuentas.
Fig 1. Logo de Twitter
Twitter, junto con Facebook, se ha convertido en toda una revolución en Internet y, debido a su gran aceptación y divulgación, periódicamente es objeto de ataques. A pesar de los esfuerzos que Twitter ha hecho en materia de seguridad como, por ejemplo, la introducción hace un año de SSL para el acceso a las cuentas y conseguir así cifrar todo el tráfico ente los servidores de Twitter y los usuarios (http://blog.twitter.com/2011/03/making-twitter-more-secure-https.html), en demasiadas ocasiones depende del propio usuario dotar de seguridad a su cuenta de acceso y no utilizar contraseñas triviales y fáciles de adivinar.
Algunos datos y estadísticas extraídas del ataque son:
- Cuentas comprometidas: 34062
- Cuentas de boots o destinadas a hacer SPAM: 20.000 aproximadamente
- cuentas de correo electrónico obtenidas: 25.068 (porque usan la misma contraseña para twitter que para el mail)
- Dominios de correo electrónico más utilizados en las cuentas: hotmail.com y gmail.com con un total de casi 18.000 cuentas de usuario
- Contraseña más utilizada (usada en 688 cuentas): 123456
- Longitud de contraseña más utilizada: 6 caracteres en casi 11.000 cuentas de usuario
- País de origen de la mayoría de las cuentas: Brasil con un 95% del total de cuentas comprometidas. Brasil es, después de los Estados Unidos, el país con más usuarios de Twitter.
La seguridad en cuanto al acceso y la recuperación de contraseñas por parte de Twitter no es todo lo adecuado que cabría esperar. Por un lado es posible enumerar usuarios (la cuenta de correo asociada al usuario) en función del mensaje de respuesta obtenido al intentar recuperar la contraseña si el usuario existe o no. Además, la cuenta de usuario no se bloquea tras diversos intentos de inicio de sesión fallidos, como mucho se muestra un captcha al tercer intento para evitar utilizar herramientas automáticas para dar con la contraseña de usuario. Tampoco informa, una vez se ha podido acceder, de los diferentes intentos de acceso fallidos o de la última vez que se accedió de forma válida.
Fig 2. Captura de pantalla intentando recuperar la contraseña con una cuenta de correo que no existe
Twitter ya está restableciendo la situación y ha bloqueado el acceso a las cuentas de usuario comprometidas a la espera de que los verdaderos usuarios procedan a restablecer dichas cuentas y cambien la contraseña de acceso.
Más información en:
http://pastebin.com/XDZguFqj: estadísticas del ataque
http://pastebin.com/Kc9ng18h: Listado (5 páginas) de las cuentas de usuario comprometidas (nombre de usuario y contraseña)
http://pastebin.com/vCMndK2L
http://pastebin.com/JdQkuYwG
http://pastebin.com/fw43srjY
http://pastebin.com/jv4LBjPX
http://www.airdemon.net/hacker107.html: reporte del ataque
http://www.hacktimes.com/el_peligro_de_las_redes_sociales: Artículo de Hacktimes.com sobre el peligro del uso inadecuado de las redes sociales
http://twitter.com/#!/hacktimes: cuenta de Twitter de Hacktimes.com
Comentarios
Añadir comentario