Durante esta semana, la comidilla ha sido un grave despiste de seguridad en Twitter que ha dejado expuestos toneladas de documentos internos de la empresa. TechCrunch ha tenido acceso a ellos y, tras un breve debate cogido con pinzas sobre si era ético o no publicarlos (sólo para justificarse), ha publicado algunos de los más jugosos. Los documentos internos estaban en Google Docs, y alguien pudo acceder a ellos descubriendo la respuesta a la pregunta secreta para recuperar la contraseña de una de las cuentas.
Cualquiera que sepa lo que es la ingeniería social, estará de acuerdo en que la “pregunta secreta” es una de las peores ideas de la historia en cuanto a seguridad. Es MUY fácil dar con la respuesta buscando un poco sobre el propietario de la cuenta, tener acceso así a sus cuentas de correo, y de ahí a su cuenta bancaria, dominios, planes y proyectos. Nunca uses la opción de la “pregunta secreta” si te la ofrecen.
Pero quiero destacar un detalle sobre cómo de débiles son los mecanismos de seguridad en Twitter. Hasta hace un par de días, la contraseña para acceder a los servidores de Twitter era “password”. Así de obvio e idiota, como el mismo registro en Twitter te indica. Cualquiera que probara suerte con algo tan simple podía acceder al panel de administración del sitio, con lo que eso supone.
¿Qué significaría una intromisión a nivel de administrador en un sitio del calibre de Twitter? Sé que muchos genbeteros son detractores de este servicio de microblogging, pero hasta los más recalcitrantes estarán de acuerdo que podría formarse un caos considerable. Pocos sitios están logrando una repercusión similar en medios tradicionales, por ejemplo.
En cuanto a los documentos expuestos, no van a acabar con Twitter, pero desde luego dejan a la compañía en una situación muy embarazosa. Según Biz Stone, “podrían enrarecer las relaciones con socios actuales o en proyecto”. Entre ellos había acuerdos con empleados, agendas de los fundadores, horarios de citas con candidatos a varios puestos, registros y facturas de teléfono, previsiones financieras, proyecto para un show de TV sobre Twitter, acuerdos de confidencialidad con AOL, DELL, Ericsson o Nokia, lista de restricciones de dietas a empleados, tarjetas de crédito, cuentas de Paypal…
Son especialmente delicados los resúmenes de reuniones. En ellas trazan no sólo los planes de futuro de la empresa, sino aspectos de relaciones con Google, Microsoft y otros socios de menor tamaño. Por ejemplo, un tema del día fue “¿Compramos TwitPic?”, y se decidió no hacerlo. En las reuniones se da el visto bueno a webs y aplicaciones de tercero, y las que no pasan el corte en estas reuniones llegan a desaparecer, como el sitio de micropagos Mogees.
Pero sobre todo hay una lección en todo esto. Nunca, jamás consideres que tus documentos confidenciales están suficientemente protegidos. Una falsa sensación de seguridad es lo peor que puede pasarte. Si varias personas tienen acceso a documentos que pueden poner en riesgo proyectos y contratos, asegúrate de que entienden la importancia de este hecho, y que no usan “password” como contraseña.
Vía | TechCrunch y Versvs
Ver 26 comentarios
26 comentarios
Alkar
#14: Toubes, es que son dos temas diferentes. Por una parte tenemos el acceso a los informes internos en Google Docs, a los que se accedió respondiendo a la pregunta secreta de uno de los empleados.
Y por otra parte tenemos la que comento, que pudieron acceder al panel de administración de Twitter usando como nombre de usuario "jack" (uno de los fundadores) y con contraseña "password".
Alkar
#24 Hay dos enlaces a pié de artículo, carocr...
alvaro
Eso les pasa por contratar a megan fox como personal de seguridad
The_unforgiven_too
Es difícil comprender tantas estupideces juntas, con la cantidad de dinero que se tiene que estar moviendo, una empresa como Twitter debería tener a un encargadod seguridad que controle ese tipo de cosas. Porque prefiero pensar que no lo tienen, a que si lo tienen y ha permitido que pasen todas esas cosas.
jayjayjay_92
La mejor noticia de twitter hasta la fecha xDDD lo que no entiendo es como lo usan en un sitio así, lo suyo sería que usasen una de 40 caracteres generados al azar xD
ArdonPixels
No podían haber puesto una contraseña más rara, no. Bueno, en el fondo es cierto que esos papeles son muy interesantes, pero no es que sean especialmente peligrosos para la página.
phyramide
Precisamente este es el inconveniente que le veo a poner los documentos en "la nube". Insisto, la nube no debería ser considerada como principal medio para archivar documentos, debería ser una alternativa y solamente para documentos sin importancia.
Ya de por si es dificil mantener seguros los documentos en un servidor sin acceso a internet. Cuanto más peligroso es tenerlos EN internet, además con un gran letrero que dice AQUI HAY DOCUMENTOS(http://docs.google.com)SOLO HAY QUE BUSCAR.
paulogarcia2005
Creo que más bien poner esa contraseña los pudo salvar hasta ahora porque nadie pensó que sería una contraseña tan ... ... -¿como lo describo?- PD: para lo de las preguntas secretas es bueno poner algo que no tenga nada que ver, por ejemplo: · Pregunta: ¿Cuál es tu ciudad natal? · Respuesta: lechuga algo así. Salu2.
black_ice
Personalmente siempre uso la misma respuesta a mi pregunta secreta, pero NUNCA tiene NADA que ver con la pregunta, y además es algo que no tiene sentido para nadie salvo para mi, y de hecho no tiene nada que ver con nada.
Con respecto a esto, cuando me aburro me pongo a pensar en pruebas de seguridad a pequeño nivel, y me sorprende la cantidad de gente que no toma en serio la seguridad informática... He entrado a iPhones sin siquiera tocarlos y ver TODA la información que contienen, he ido a restaurantes con WiFi libre y comprobar como tienen todos los documentos internos compartidos en la misma red WiFi, o buscando en rangos de IP routers sin Firewall y que tienen las contraseñas por defecto... Nunca he robado nada ni dañado nada, pues no me parece correcto. Sólo lo hago por entretenerme... pero fallos de seguridad hay a montón... y eso si, los mas chungos y fáciles de descubrir son aquellos provocados por error humano.
Un saludo
WoRMs
;_;
vaya torzon que llevo
Bueno oye, podría haber sido administrador xDDD
Joan
o tambien pudiera haber sido 1234 xD o twitter
Ricardo F.S.
Un ejemplo más del cuidado que se debe de tener cuando se crear contraseñas. Soy también de la idea de que la pregunta secreta no debería de ser utilizada.
Julio
JAJAJAJA.... Solo me queda eso...
64958
He encontrado páginas donde no sólo te la ofrecen, sino que te obligan a contestarla, o de lo contrario uno no puede seguir con el registro.
Pero pareciera que por más que se diga que no pongamos contraseñas fáciles de escribir, nunca aprendemos. Ya vimos lo que pasó con toda la red Betazeta, y ahora a escala mundial, Twitter.
Daniels
"Cualquiera que sepa lo que es la ingeniería social, estará de acuerdo en que la “pregunta secreta” es una de las peores ideas de la historia en cuanto a seguridad"
No estoy para nada de acuerdo, yo cuando pongo la respuesta no tiene nada que ver con la pregunta,
Es como si bebes por la noche y conduces y te pregunta el policía que está haciendo el control " Buenas noches, ha bebido alcohol?" y tu le respondes que si.
Seguramente que muchíiiiisima gente en la respuesta no pondrá el nombre de du abuelo(si la pregunta es cual es el nombre del abuelo)
jericallo
12 exacto, la respuesta a la pregunta secreta no considero que sea la respuesta real puede ser incluso lo contrario o usar una "contraseña" extra, en fin cada persona busca lo que considere mas seguro
toubes
Pues a mi me parece que la noticia se sale de contexto... Lo que verdaderamente ocurrió fue que un "curioso informático" accedió a la cuenta de google de un empleado de Twitter, mas nada.
Esto no tiene nada que ver con que se haya vulnerado la infraestructura de sistemas de Twitter o que se tuviesen permisos de administrador en los verdaderos servidores que hospedan toda la maquinaria de Twitter
ivancebellan
las contraseñas mas usadas son: -password o contraseña -god o dios -1234 -love o amor -sex o sexo
Ramón Martínez
Esto no és la primera vez que lo veo, soy fúncionario y tenemos una intranet, supuestamente bién protegida, pues bién averigué la contraseña de acceso a la página de intranet de pagadurias (los que nos pagan la nómina) xD... por supuesto no hice nada más que avisar, pero me hizo gracia, también era algo similar a las contraseñas habituales que vienen por defecto xD...
Saludos!
Vida MRR
Sólo faltaba que en realidad la contraseña fuera Twitter jajaja
weirdo
jejej lo q se es q aveces nisiquiera ingeneria social se necesita, puesto q jugando un poco con google puedes obtener informacion de una persona, gente hay ser precavidos en cuanto a la publicacion y privacidad de nuestros datos personales q nos hacen vulnerables en cierto sentido (sin ganas de volverlos paranoicos jeje)
Alejandro Torres
Brutal, simplemente brutal la dejadez de una empresa que está creciendo tanto, ahora todo mundo tiene en su web twitter, (incluido yo). demasiada dejadez.
cojonuo
Lo de la pregunta secreta, efectivamente es un metodo muy malo y poco seguro, pero usado con cabeza puede ser util, por ejemplo, yo siempre escojo una respuesta absurda que siempre es la misma y nunca se me olvidará, de esta manera puedo recordad mis contraseñas si las olvidara y la pregunta es irrelevante, es algo así como una contraseña de mas alto nivel...
carocr
¿Por qué no hay enlaces en el post? Siempre se deben citar las fuentes.
carocr
Ups, nunca los vi. Me fui a leer a otra parte. Gracias