El incidente en Twitter

El martes pasado, se descubrió una vulnerabilidad del tipo XSS en Twitter. No una nueva, sino una que había sido identificada y parchada hace unas semanas, y que resurgio con una actualización del sitio. El bug era grave en cuanto a que hizo posible un gusano XSS, pero de acuerdo con el reporte de Twitter, las identidades de los usuarios en ningún momento se pusieron en riesgo, y el fallo se arregló en 4 horas. Sin embargo, tengo unas cuantas reflexiones:

• Me parece que al equipo de desarrollo de Twitter le falta orden. Como ya he dicho, fue un rebrote de un bug que ya se había parchado. Estoy consciente de que estas cosas pasan, pero en Twitter constantemente vemos que los mismos problemas reaparecen una y otra vez. Además, este no fue cualquier bug, sino una vulnerabilidad más o menos grave.
• Por otro lado, la respuesta fue muy rápida y, a los que seguimos alguna de las cuentas de soporte, nos mantuvieron al tanto de los avances. Punto a favor del equipo de seguridad de Twitter.
• Volviendo a ver el vaso medio vacío, me parece que no hubo una alerta general oficial para los demás usuarios, y la lista de trending topics se llenó de frases aludiendo a que Twitter había sido hackeado. Mucha alarma y poca información de qué hacer como usuario.

Para cerrar, puedo decir que el incidente me sorprendió porque Twitter es una plataforma relativamente simple (comparada con Facebook, por ejemplo) y los desarrolladores deben haber sabido que si había un punto débil al cual debían darle meticuloso cuidado, era el parsing de enlaces externos, menciones y hashtags. Curiosamente, hace unas horas se descubrió -y reparó- otra vulnerabilidad parecida.

En fin, regreso la próxima semana para hablar un poco sobre XSS. Hasta pronto y practiquen safe hex.

Más información

• Security Nut: New Twitter Xss (en inglés)