Blog personal de Diego de Haller
Blog personal de Diego de Haller

Twitter, phishing, seguridad, …

twitterAyer nos llegaba una noticia acerca de phishing que están recibiendo usuarios de Twitter, que mediante un mensaje directo recibían un link que les llevaba a una página que parecía Twitter pero no lo era.

En el propio blog de Twitter lo comentaban, y rápidamente llegó a Mashable. Si queréis ver más reacciones, echad un ojo a lo que se comenta en #phisingalert.

El caso es que creo que este es un momento importante para Twitter, ya que les va a forzar a tomar una decisión importante acerca de la seguridad. Se han oído muchas voces de crítica acerca del tipo de autentificación que se usa con Twitter. Todo es debido a la cantidad de aplicaciones que hay asociadas a este popular servicio. ¿Qué pasa cuando ya no queremos que esa aplicación use nuestro Twitter? ¿Cambiamos la password? ¿Por qué? Si cada vez que quiero que un servicio deje de usar mi Twitter tengo que cambiar mi password…

Hasta la llegada de Twply, no teníamos nada que temer. Twply te envía a un mail todos los replies que recibas y, para ello, te pide tu usuario y tu contraseña. Este hecho ya lo comenté a través de los compartidos de Google Reader y mucha más gente, porque para ver las respuestas que un usuario recibe no hace falta saber la clave, ya que son públicas (salvo que se indique lo contrario). La clave sólo hace falta para ver los mensajes directos y para escribir. Lo curioso fue cuando Robert Scoble comentó que los creadores de Twply habían vendido el servicio a través de un sitio de pujas. Y con ello, los datos de los usuarios que se dieron de alta, esto sin confirmar, a pesar de que es curioso que justo unos días después aparezca el phishing.

¿Qué soluciones tiene Twitter para evitar esto en un futuro? No ya evitar el phishing, no seamos pretenciosos, pero evitar que haya una puerta abierta asociada a su servicio para este tipo de cosas. Podrían aplicar el mismo sistema que tienen Flickr o Facebook, que para que una aplicación externa pueda trabajar con tu cuenta no necesitas darle tu usuario y contraseña, con autorizarla a través del panel de control de tu cuenta ya lo tienes todo. Que un día dejas de usarla, no te fías, o simplemente quieres hacer limpieza, es sencillo: revocas el permiso y resuelto.

Veremos cómo acaba esto.

3 ideas sobre “Twitter, phishing, seguridad, …”

Los comentarios están cerrados.