Rainbow, otra falla más en Twitter

21 Sep 2010

La seguridad en internet se ve afectada cada cierto tiempo por los desarrollos de los delincuentes informáticos, quienes al igual que los expertos en seguridad, estudian minuto a minuto nuevos agujeros de seguridad y tecnologías para saltar protecciones.

Esta búsqueda de agujeros de seguridad, hace que cada tanto nos encontremos con algún problema de verdad importante.. en este caso ha sido Rainbow el nombre de la amenaza que afecto esta mañana a Twitter.

Rainbow es un nombre bastante bonito, aunque se trate de algo mucho más complicado que un arcoiris. Según hemos podido averiguar por las declaraciones de los voceros de Twitter y de diversas empresas expertas en seguridad, esta amenaza de seguridad explotaba una vulnerabilidad XSS. El ataque o vulnerabilidad XSS es aquel que permite la ejecución de código de scripting como por ejemplo JavaScript.

Cabe mencionar que estos ataques se utilizan para sitios web y aplicaciones web.. en este mismo año ha aparecido una vulnerabilidad parecida en Youtube, así que verás lo extendidos que están estos ataques y la gran cantidad de sitios web que pueden ser objetivo de ellos.

La finalidad de un ataque XSS es muy variada, en el caso de Twitter.. al pasar el ratón por sobre el tweet con letras raras (que en realidad era código de scripting) se hicieran varias cosas.. desde enviar un tweet parecido a todos tus seguidores, redirigirte hacia sitios web con spam y mucho más.

Es imprescindible que se entienda la gravedad de un ataque de estas características.. han sido millones los usuarios afectados por la amenaza Rainbow, y que de haberse tratado de un programador con quizás mayor preparación, o con una inclinación a generar más daño, esto podría haberse traducido en millones de ordenadores infectados en tan solo unas horas.

Más allá de esto, los ingenieros de Twitter ya han solucionado el problema, y ya podemos utilizar nuevamente el sitio web sin problema alguno.