El problema de seguridad sufrido por Twitter es importante, pero ¿es el peor que ha sufrido? En este caso, parece ser que los atacantes usaron ingeniería social con trabajadores con acceso a paneles de control que podían modificar el contenido de la cuenta de cualquier usuario. Nada especialmente técnico (al parecer y por lo que sabemos por ahora) pero sí interesante y sobre todo, eficaz. Repasemos algunos graves problemas de seguridad que ha sufrido Twitter y que fueron noticia durante los últimos años.
* En 2010 un gusano JavaScript se apoderó de Twitter. Alguien a través de un XSS había conseguido que, con solo pasar el ratón sobre un tuit (onMouseOver) se retuiteara. La tormenta fue importante y el tuit gusano se expandió en pocos minutos.
* En 2018, se encontró un fallo en la API de Twitter que permitía ver los mensajes directos de algunos usuarios a cualquier desarrollador.
* En noviembre de 2019, se supo que desde mayo a diciembre de 2015 (cuando abandonaron la compañía) dos empleados de Twitter (Ahmad Abouammo y Ali Alzabarah), estaban realmente al servicio de Arabia Saudí para espiar a disidentes en la plataforma. Había sido reclutados en 2014.
* En 2019, un fallo en la app de Android de Twitter permitía ver tuit protegidos. A finales de ese año otro fallo en la app permitía un control total de una cuenta ajena.
* En diciembre de 2019, Ibrahim Balic encontró un problema en la app de Twitter. Subiendo 17 millones de números de teléfono aleatorios, se le devolvieron datos de sus potenciales dueños que permitían identificarlos. Consiguió así obtener el teléfono de personajes relevantes.
* También en 2019, la cuenta de Jack Dorsey fue comprometida gracias a la suplantación del número de teléfono, algo que pudo ser usado para atacar a otras personalidades.
* En 2012, Jonathan Rudenberg alertaba de un fallo en el sistema de publicación a través de SMS de Twitter que podría permitir el envío de tuits en nombre de otra persona con solo conocer su número de teléfono. En realidad, era ya entonces una vulnerabilidad conocida. En 2019 Twitter dejó de permitir el uso de SMS para la publicación.
* En 2013, gracias a fallos en Java, parece que atacantes entraron en la red interna de Twitter (y otras compañías) y tuvieron acceso a contraseñas cifradas y salteadas de 250.000 usuarios.
Más información:
https://twitter.com/TwitterSupport/status/1283591844962750464