El Blog de Enrique Dans

0wned!!

Escrito a las 8:05 am
41

twitterbugImpresionante agujero de seguridad en Twitter: la actualización que veis a la izquierda, que he mantenido en su sitio correspondiente, no la he hecho yo, sino los chicos de Security By Default, a quienes conozco desde hace tiempo, y que lo han llevado a cabo respetando todos los principios de eso que se ha dado en llamar “hacking ético” o “white hat hacking”: lo ha publicado a una hora de poco tráfico, no han puesto ninguna barbaridad sino únicamente una broma inofensiva, y me envían un correo inmediatamente informándome acerca del tema.

Hasta donde yo sé, y a falta de recibir un correo con las explicaciones, el agujero de seguridad utilizado es ya público, está en conocimiento de la compañía desde hace cierto tiempo, pero no ha sido todavía corregido. En realidad, el agujero de seguridad es el mismo que permite hacer spoofing de mensajes SMS (enviar a una persona un mensaje escrito por nosotros, pero que la persona recibe como si hubiese sido escrito por una tercera persona). Mientras en los Estados Unidos, los operadores de telefonía móvil se han protegido ya contra el SMS spoofing, en España y en otros países no es así, de manera que la única solución temporal que se me ocurre es eliminar temporalmente de la cuenta de Twitter la asociación con dispositivos móviles.

Así que, mientras esto no se solucione, si veis cualquier cosa rara en mis actualizaciones, haced el favor de tomárosla, como diría un inglés, with a grain of salt. En caso de duda, tened la precaución de consultar el from que aparece bajo cada actualización en la página de Twitter: mis actualizaciones están escritas habitualmente desde Ping.fm, TwitterBerry o from web, y eso es lo que debería aparecer al final de las mismas. Hasta nuevo aviso, cualquier actualización que aparezca en mi Twitter en la que aparezca from txt es falsa, y aunque será eliminada en cuanto la vea, no me gustaría que, en el tiempo que tarde en darme cuenta, pudiese dar lugar a ningun tipo de confusión o mala interpretación porque alguien pensase que está escrita por mí.

17 trackbacks

001
meneame.net
07.03.2009 a las 11:24 Permalink

Enrique Dans Hackeado en Twitter…

Impresionante agujero de seguridad en Twitter: la actualización de la foto no la he hecho yo, sino los chicos de Security By Default, a quienes conozco desde hace tiempo, y que lo han llevado a cabo respetando todos los principios de eso que se ha dad…

002
Week-Log.305 | Denken Über
07.03.2009 a las 14:17 Permalink

[…] Enrique Dans y el 0wned!! de Twitter […]

[…] razón no es otra que el “hackeo” de la cuenta de Twitter de Enrique Dans, figura muy conocida dentro del servicio, realizado por un grupo de “hackers buenos” […]

[…] uno de los Twitters con mas seguidores de España, el de Enrique Edans, que muestra en su blog todo lo acontecido. Desde luego un fallo enorme para una compañia de reconocimiento mundial como […]

[…] razón no es otra que el “hackeo” de la cuenta de Twitter de Enrique Dans, figura muy conocida dentro del servicio, realizado por un grupo de “hackers buenos” […]

[…] mejorar Twitter Ante los recientes avisos de las fallas de seguridad en Twitter, los cuales piden mayor atención a esa red de microblogging, no vendría mal tomar en cuenta estas […]

[…] fallo de seguridad no tan conocido en el ambiente hispano hasta que a Enrique Dans le escribieron un Tweet en su cuenta sin tener su […]

[…] bombo en Internet. ¿Cómo fue conocido el fallo? Un equipo de hackers publicaron en el Twitter del blogger Enrique Dans un mensaje sin intención de daño, con el simple objetivo de conseguir repercusión acera de este […]

[…] gente de Security by Default hackean la cuenta de Enrique Dans en Twitter aprovechando un agujero de seguridad en el envío de […]

010
La semana en los blogs CLXV
09.03.2009 a las 06:24 Permalink

[…] Security By Default y el “hackeo” de la cuenta Twitter de Enrique Dans. […]

[…] ‘Owned‘, por Enrique Dans, y ‘¿A quiénes debería seguir en Twitter?‘, por José Luis Orihuela. […]

[…] Sí, el título es sólo un reclamo: a ver si consigo esa pizca de gloria dospuntocérica que el señor Dans, según él mismo, brinda a todos sus citadores. El caso es que el Sr. Dans escribía en una entrada reciente: […]

[…] El twitter de Enrique Dans hackeado. En security by default explican como lo hicieron, resumiendo, si tienes abiertas las actualizaciones de twitter desde el móvil ciérralas. […]

[…] Días después la falla seguía sin remediarse y un grupo de “hackers éticos” utilizó la cuenta de Enrique Dans -un blogger y analista … […]

[…] en Twitter que leí en el Washington Post.Días después la falla seguía sin remediarse y un grupo de “hackers éticos” utilizó la cuenta de Enrique Dans -un blogger y analista …-Una vez más no hubo queja. Una vez más la acción parecía justificada.Y estoy seguro de que no […]

[…] impresionante agujero de seguridad en Twitter hace que se puedan publicar mensajes como si fueran de otra persona en una cuenta ajena; el […]

[…] impresionante agujero de seguridad en Twitter hace que se puedan publicar mensajes como si fueran de otra persona en una cuenta ajena; el […]

24 comentarios

001
PPA
07.03.2009 a las 09:53 Permalink

A ver si lo entiendo: si Internet Explorer tiene un fallo de seguridad se recomienda no usarlo. Si Twitter tiene un fallo de seguridad (que permite publicar en nombre de cualquier persona) simplemente hay que tener mucho cuidado, pero vamos, poco menos que da igual. Y además nos ahorramos todos los comentarios sobre la competencia de los dueños/desarrolladores de Twitter. ¿No falla algo aquí?

002
kiki
07.03.2009 a las 10:36 Permalink

Esto de los expertos de seguridad es como el experto en abrir cajas fuertes, que vale pa tó.
Esto del hacking ético es cuestión de como lo tome uno, tu te lo has tomado bien, yo a lo mejor les hubiera puesto una denuncia, yo que sé.
A mi me parece que la diferencia entre hacking y hacking ético es muy sutil. Yo creo que hay muchos hackers éticos de 8 a 18 horas que se convierten en hackers no éticos en su casa.
A fin de cuentas para saber abrir cerraduras o una de dos o puedes ser cerrajero o puedes ser chorizo.

003
Ricardo
07.03.2009 a las 11:15 Permalink

A mí me parece que eso del hacking ético es lo mismo que hacking normal. La diferencia es de grado. Es como la diferencia entre robar 1 millón de euros y robar 50.000€. Son la misma cosa y no porque uno de los robos deje de robar todo lo que podría vamos a llamarlo “ético”. Lo ético es que no perjudiquen a nadie ni por valor de 1 millón, ni de 50.000, ni de 1.

004
Óscar
07.03.2009 a las 12:19 Permalink

PPA, si Twitter tiene un fallo de seguridad que permite publicar en la cuenta de otro, ese fallo sólo afecta a su servicio; cuando Internet Explorer, u otro navegador, tiene un agujero, los servicios afectados podrían ser mucho más numerosos y de mayor gravedad.

En cuanto al rasero o los principios de otros, no comment; que cada palo aguante su vela.

005
Javier Villarrubia
07.03.2009 a las 13:22 Permalink

Según comentan en The H Security ya ha sido cerrado este problema (aunque parece que con algún problema en el Reino Unido y Alemania). Si estais interesados, podeis ver esta información en

006
Javier Villarrubia
07.03.2009 a las 14:31 Permalink

Parece que no ha salido publicado el vínculo que mencionaba en mi comentario. Así que ahí va sin XHTML ni códigos raros:

– Twitter closes SMS spoofing hole
http://www.h-online.com/security/Twitter-closes-SMS-spoofing-hole-Updated–/news/112786
TinyURL: http://tinyurl.com/brpvv5

Perdón por las molestias.

007
Francisco
07.03.2009 a las 16:36 Permalink

Hola Enrique, creo que te puede interesar el post:

http://tentandole.blogsome.com/2009/03/07/thinkepi-redisenando-google-propuesta-base-para-el-desarrollo-de-un-sistema-operativo-multimodal-ubicuo/

Por cierto, si alguna vez no estimas oportuno publicar cuando te comento algún post, sin problema que no quiero parecer que hago publicidad.

Saludos

008
Agente Mulder
07.03.2009 a las 18:00 Permalink

Pongo en vuestro conocimiento que me ha sido asignado el caso después de haber rebotado por varios despachos del FBI y llegar al sótano.

Sospecho que se trata de una “posesión en cadena” en la que el mismo espíritu se encarga de hacer las fechorías dentro de distintos individuos.

Además, creo que se trata del mismo que mató a Laura Palmer.

Lo tengo localizado desde que poseyó a Zapatero en una rueda de prensa.

009
Gorki
07.03.2009 a las 18:23 Permalink

Estas cosas les pasan a todos, pero los de Twiter son muy majos,…. Se les deja que lo arreglen y….. ¡olvidado!

010
Enrique Dans
07.03.2009 a las 20:25 Permalink

#1, #9: Sinceramente, no me parece muy comparable. Un fallo en Explorer compromete todo, tu banco, todos tus servicios, todo. El fallo de Twitter, como mucho, provoca que alguien pueda poner en boca de otro un comentario corto. En mi caso, la verdad, me trae al fresco, y si fuese un famoso, como mucho sería un pequeño escándalo sin consecuencias, como de hecho ya ocurrió. Lo dicho, para nada comparable: lo de Microsoft es una pasada de importante y viene de una compañía ultrapotente y con recursos ilimitados. Lo de Twitter no es importante y viene de una compañía de cuatro amiguetes. Igualito, vamos…,

011
Jose Miguel
07.03.2009 a las 21:40 Permalink

“Un fallo en Explorer compromete todo, tu banco, todos tus servicios, todo”. Lo mismo sucede con quien no ha actualizado su Firefox, han tenido fallos similares o peores. Y sinceramente, que digas que alguien ponga en mi boca (no podrán hacerlo, no tengo cuenta en Twitter) algo que yo no he dicho, me preocupa más, bastante más, de lo que parece preocuparte a ti. Según tu… no es importante.

012
Mont
07.03.2009 a las 22:20 Permalink

Pues hace unos minutos pusieron una frase en tu twitter y ésa no creo que te haya hecho gracia ;) Está ahora borradita y no era una “broma inofensiva”… Quizás ahora convendría cambiar de opinión, ¿no?

013
paco
07.03.2009 a las 23:48 Permalink

ya sabes lo vulnerable que es dar tu movil a la gente, jeje

014
Enrique Dans
08.03.2009 a las 00:06 Permalink

#12: pero Mont, vamos a ver… ¿Cambiar de opinión? ¿Estás de broma? ¿Pero de verdad crees que a mí esa basura me importa lo más mínimo? ¿Piensas que tiene la más mínima importancia? ¿Que me fastidia? Mira, al verlo, me he descojonado de risa, despuês he dedicado un rato a pensar en el pobre y patético personaje que obtiene satisfacción de una travesurilla así, lo borro, y no me afecta absolutamente nada, ahí termina el espacio neuronal que le dedico. Si realmente crees que lo que ha pasado es importante y que tengo que cambiar de opinión por ello, tienes un verdadero problema de asignación de prioridades, tío…

015
Antón
08.03.2009 a las 11:20 Permalink

Así que esto es lo que le pasó a Rosa Díez, ¿no?

016
Jorge
08.03.2009 a las 14:44 Permalink

Siguiendo esta regla de tres, lo de Rosa Díez también pudo ser una broma xD

017
subpop
08.03.2009 a las 15:36 Permalink

@#2 y #3 La diferencia entre un hacker etico es que intenta encontrar vulnerabilidades para arreglarlas.

Es como si dices que un auditor financiero juega al limite porque buscar estafas financieras ….o esa otra afirmacion de lo que hacen despues del trabajo…es como decir “es abogado de 9 a 18, pero luego es un asesino”.

Os puedo asegurar que una de las cosas mas dificiles de ser hacker blanco es tener claras las fronteras del bien y del mal, y los de Security by Default son muy profesionales….no todo el mundo aguanta la presion (y las tentaciones) estando en esa fina linea.

Enrique, te felicito por tu reacción y comentarios .

018
ender wiggins
08.03.2009 a las 15:39 Permalink

#1: la diferencia entre un sistema de microblogging en el que pueden suplantarte y un navegador en el que se pueden llevar tus claves almacenadas, o reventarte el sistema operativo a través de una vulnerabilidad es grande; lo que marca la recomendación es:

a ) gravedad del error (la aplicación se cae,perdida de datos,…)
b) a qué afecta (¿solo a la aplicación?¿aplicación y SSOO?)
c) ¿se puede evitar? (en este caso, sí, desactivando la funcionalidad de dispositivos móviles)

Por tanto, no es lo mismo un bug en Internet explorer que permite ejecutar codigo de otras páginas (siendo internet explorer una aplicación que almacena datos privados bastante importantes) a un bug en twitter que permite suplantar identidad solo si tienes activada una opción de configuración… hay niveles :-)

Y porqué no decirlo, también hay mucha tirria a microsoft, obviamente. si la comparación fuese entre fiorefox e internet explorer, te daría toda la razón :-), independientemente de que me guste más firefox por su facil ampliación mediante plugins y por su filosofía…

019
Domi
08.03.2009 a las 22:58 Permalink

Estoy de acuerdo con Enrique. No se puede comparar Twiter con IE. Nada que ver.

020
Miguel
09.03.2009 a las 11:42 Permalink

Nada es como el IE que parece estar siempre de “puertas abiertas” pero hay que reconocer que es demasiado fácil “meter ruido” en un sistema de comunicación en tiempo real.

Un aplauso para los chicos de Security By Default que han demostrado que se pueden hacer las cosas bien y no hace falta meter spam en su cuenta para sacar unos dolares ni vender los datos a terceros ni nada.

021
Anónimo
09.03.2009 a las 13:33 Permalink

Esto tiene un uso interesante: si en algún momento te quieren meter una de esas acostumbradas denuncias por “atentar contra el honor” de alguien simplemente puedes alegar que es de público conocimiento que cualquiera puede invadir la cuenta twitter de otro así que no pueden demostrar quién es el responsable.

Es algo parecido a lo que ocurrió en Australia, que comenzaron a recurrir las multas de tránsito porque las cámaras que tomaban las fotos de los coches usaban MD5 para verificar la autenticidad de la foto, y como se descubrió que el MD5 es relativamente vulnerable, lo consideraron suficiente para alegar que no se podía verificar la autenticidad de la foto.

022
Belén
09.03.2009 a las 18:56 Permalink

Enrique, le puedes quitar todo el hierro al asunto que quieras, pero el hierro se oxida… no lo olvides.

Para mi, es tan grave como cualquier otro fallo de seguridad por una razón muy importante: desde que Twitter se usa por empresas, políticos, gente conocida con nombres y apellidos o cualquier organización, la cosa tiene mucha trascendencia.

No es lo mismo que me hackeen a mi la cuenta, porque al fin y al cabo, es medianamente anónima. Pero poner algo en boca de alguien que puede sufrir responsabilidades por lo que diga es algo bastante grave. Si se dedican a poner twiteos injuriosos o calumniosos, entonces tendrías que meterte a demostrar que no fuiste tú quien lo posteó, y eso ya no te haría tanta gracia, por las molestias. (doy por hecho que podrías demostrar en último caso tu inocencia, pero dañaría tu imagen o la de una empresa, etc)

No es comparable en términos de consecuencias directas para ti a un fallo en Internet Explorer, eso es obvio, pero tampoco minusprecies el daño que se puede hacer, porque es mucho.

023
theeleb
10.03.2009 a las 17:20 Permalink

Creo que sois un poco alarmistas, quien me dice algun servicio web que no tiene o tuvo vulnerabilidades. No vamos a entrar en el tema del software (explorer, firefox, clientes de correo ,etc, etc) ..

Por lo pronto alguno que se me ocurra ahora mismo, y que podais conocer mmmmmmmmmm, GMAIL, podeis leer este post:

http://www.kriptopolis.org/vulnerabilidad-gmail

OOOOOHHH!!!! Dios mio borremos nuestras cuentas volvamos a utilizar el correo ordinario, denunciemos a Google por comprometer nuestra seguridad!!! Todos a las armas!!!

Lo primero es ver en el contexto donde nos movemos, internet … y luego asumir los riesgos que se toman cuando se utilizan determinados servicios. Y ya esta, no hay mas.

Yo por mi parte aplaudo a Security By Default, por reportar el fallo de seguridad, quizás lo hicierón de la manera mas eficiente para llegar al mayor número de personas.

Bueno, sigo a menudo este blog, aunque no comento casi nada, bueno nada, creo que “is my first time”, un saludo y enhorabuena por nicho.

theeleb.

024
Alonso (Desde Los Cabos)
14.03.2009 a las 19:14 Permalink

Pero… entonces tengo que borrar mi twitter y cambiarme al nuevo cochinero ese de facebook que lo emula?

YA NO HAY LUGAR SEGUROOOO AGHHH!!!

Comentarios cerrados

5 Comentarios en Menéame

001
Nemigo
07.03.2009 a las 11:26 Permalink

este hombre es el pupas de la web 2.0» autor: Nemigo

002
BOT
07.03.2009 a las 11:39 Permalink
003
Stash
07.03.2009 a las 11:54 Permalink

#2

Más gráfico imposible.» autor: Stash

004
MGR
07.03.2009 a las 12:28 Permalink

#2 Buuuu, pues yo no veo nada irrelevante que exista un fallo que permita que cualquiera pueda escribir cosas con usuarios ajenos en twitter… A no ser que no uses twitter, claro » autor: MGR

005
eldios13
09.03.2009 a las 03:30 Permalink

ahora llegara la segunda “oleada” de “hackeos de sombrero negro” que usaran este metodo para registrar a sus enemigos en servicios de SMS PREMIUM de pago utilizando una tarjeta sim antigua anonima

» autor: eldios13

Logotipo de Blogestudio Logotipo de Acens