Trust no one

Ayer corrió por la blogósfera la noticia de que  Twitter pidió cambiar la contraseña de miles de cuentas, supuestamente afectadas por phishing.

Hoy supimos la versión oficial que no es exactamente igual pero tiene el mismo espíritu. Twitter notó la anomalía al ver que dos cuentas del servicio habían ganado miles de seguidores en pocas horas. Una revisión en detalle reveló que estaban siendo controladas al parecer por la misma persona.

Este sujeto levantó, hace años,  un sitio de torrents que pedía registrarse para descargar. Luego le adosó un foro que también pedía registrarse para postear. Luego integró ambos sistemas y puso el pack a la venta como un CMS para el que quisiera  montar su propio sitio de “torrents+foro”. Todos estos años después, se supo que el tipo almacenaba los passwords de los visitantes a su sitio y foro, y que había reservado un acceso oculto en el CMS descargable para poder hacer lo mismo en los sitios independientes que se habían basado sobre su software.

En sitios como CHW los passwords se almacenan encriptados, de manera que los administradores no podemos ver cuál es: sólo podemos cambiarlo en casos excepcionales como cuando el mecanismo para hacerlo automáticamente se marea. Sin embargo, así como ocurrió en este caso, es posible que haya otros sitios en la internet que recurran a esta práctica maliciosa para probar suerte en servicios como Twitter o Gmail, de manera que la única práctica a seguir para evitar que te roben la cuenta es usar contraseñas distintas. Yo tengo una para Twitter, otra para Gmail, otra para CHW, otra para Facebook y una que uso en los sitios cuyo prestigio no me consta.

Link: Twitter Explains Recent Phishing Attack (Mashable)