Twitter permite enviar mensajes directos, que son tuits que solamente pueden ver el remitente y el destinatario (son privados). En teoría, sólo se pueden recibir mensajes directos de otros miembros de la red social a los que el usuario sigue. Para enviarlos basta con especificar el nombre de usuario de la cuenta del destinatario. Un investigador de seguridad, llamado Egor Homakov, acaba de descubrir una vulnerabilidad en Twitter que facilita que las aplicaciones envíen mensajes directos sin solicitar la autorización explícita del usuario. Basta con usar el comando “d twitter_username message” para que la aplicación pueda remitir un mensaje corto sin necesidad de verificar si el destinatario está o no de acuerdo.
Funciona con aplicaciones como Twitpic, entre otras. Sin embargo, en Thenextweb han probado alguna, como Buffer, que bloquea esa posibilidad. Este agujero de seguridad abre la puerta a todo tipo de abusos relacionados con el spam, los mensajes no solicitados. De hecho, el usuario que supuestamente los remite casi no se daría cuenta, salvo que uno de los destinatarios responda a ese mensaje o bien él decida revisar manualmente los mensajes directos enviados. Egor Homakov además apunta que ofrece excelentes oportunidades para el phishing, porque los mensajes directos remitidos por este procedimiento no indican si el origen está en un cliente oficial de Twitter o en una tercera parte.
De acuerdo con Egor Homakov, es una vulnerabilidad porque se supone que las aplicaciones para Twitter deben contar con un permiso para leer y escribir para poder acceder a los mensajes directos del usuario. Con el atajo que proporciona este agujero de seguridad pueden saltarse esa protección. Lo peor es que, según parece, Twitter conoce el fallo desde hace tiempo y todavía no ha decidido que merezca la pena solucionarlo. Otro investigador, DaKnOb, señala que encontró la vulnerabilidad hace un año y se lo comunicó a la compañía que, supuestamente, le contestó que no había nada que arreglar.
A mediados de octubre de este año, Twitter empezaba a probar cambios en las opciones de los mensajes directos. En concreto, respecto a la forma de manejarlos y al control de los enlaces enviados desde cuentas no verificadas. Esos cambios afectan a la seguridad y la intimidad de los usuarios. En primer lugar, el sitio de microblogs está probando una función que permite que cualquier seguidor envíe un mensaje directo al usuario, incluso aunque éste no le siga a él. Aquellos usuarios que tengan esa posibilidad activada deben asegurarse de dejar sin marcar esa opción de recibir mensaje directos de cualquier seguidor.
La segunda batería de cambios afecta a los enlaces que figuran dentro de los mensajes cortos. De momento, la compañía afirma en su centro de ayuda que está reestructurando su sistema de menajes directos. “Como resultado, puede que algunos usuarios no puedan enviar algunas direcciones URL en los mensajes directos”. En este asunto, lo mejor es evitar hacer clic sobre cualquier enlace dentro de un mensaje, directos incluidos.
