Cancelando cuentas en Twitter y Facebook

Recientemente leí un artículo sobre un fallo grave de seguridad que afectaba a Github y Twitter. Aquí puedes leer el anuncio sobre este, en mi opinión, gravísimo fallo de segurdad.

Plaintext passwords in internal logs at Twitter and Github

  • Github notified a small subset of users that their passwords were visible in internal logs: link
  • Twitter asks for a password reset after discovering a similar issue: link

Cuando leí sobre la noticia, pude apreciar como insistían en que no todas las cuentas se habían visto afectadas. Tan solo algunas cuentas sufrieron el problema. Podías saber fácilmente si tu cuenta estaba afectada por este fallo de seguridad porque al entrar en la cuenta te saltaría una alerta de seguridad informándote del fallo y que cambiases tu contraseña inmediatamente.

Inmediatamente accedí con mi cuenta de twitter y pude comprobar como mi cuenta se había visto afectada, por lo que mi contraseña aparecía sin cifrar en los logs de twitter.

Para estar seguro al 100%, pedí a otras 4 personas que accediesen con sus cuentas de twitter y comprobasen si les aparecía el mismo mensaje de error o no.

Estas cuatro personas me confirmaron que ellas no habían visualizado esa alerta.

Inmediatamente cambié mi contraseña y no solo eso, procedí al borrado completo de mi perfil y todos mis datos almacenados, en twitter y facebook.

Esa es la razón por la que ya no me veréis por esas dos redes sociales.

Grave fallo de seguridad

Desde mi punto de vista, esto supone un fallo de seguridad realmente gravísimo.

Cualquiera que se moleste un poco y lea brevemente sobre diferentes formas de almacenar contraseñas de usuarios llegará a una sencilla conclusión, la premisa básica que todos los autores recomiendan, toda información sensible de un usuario debe almacenarse encriptada.

No voy a entrar en los diferentes algoritmos o mecanismos de encriptación, los hay mejores y peores, más rápidos y más lentos, pero la premisa es clara, la información sensible, como contraseñas, debe almacenarse siempre encriptada.

Desde el momento que leí, tanto Twitter con Github, expusieron contraseñas en texto plano (sin encriptar) en sus logs internos, me di cuenta de que estas dos redes sociales tienen unos estándares de seguridad débiles y ridículos para el siglo XXI. Me surgen algunas simples cuestiones que espero a vosotros también os hagan pensar un poco sobre ello:

¿Por qué aparecen datos sensibles en sus logs? ¿Qué necesidad hay de grabar contraseñas sin encriptar en sus logs? 

Por mucho que pienso en ello no encuentro ningún caso lógico y plausible para hacer tal cosa. Sin embargo, asumamos que es necesario por alguna razón. En caso, de ser necesario,

¿Por qué aparecen esta información sensible sin encriptar?

Si como he dicho, cualquiera que se moleste un poco, aprende en pocos segundos que la información sensible de los usuarios se debe almacenar en un sistema informático siempre encriptada, ¿por qué estos supuestos ingenieros envían información sensible sin encriptar a sus logs?

He dicho “supuestos ingenieros” con conocimiento de causa. Si te fijas bien, las compañías estadounidenses siempre se están vendiendo como las mejores, más grandes, más seguras, con las mejores tecnologías y con las mejores técnicas de seguridad a su disposición. ¿En serio debemos creer eso después de leer noticas como ésta?

En mi opinión solo hay una interpretación clara al respecto, o todo lo que cuentan es mentira, o no es cierto que sean tan geniales y usen tan buenas tecnologías de seguridad.

Conclusión

Después de haber leído una noticia como ésta, analizar un poco lo que hay detrás de ella y lo que implica, he decido ir cancelando todas mis redes sociales y las que aún mantengo cambiar la contraseña con frecuencia.

Parece que nos estamos acostumbrando demasiado a leer noticias de este tipo y que pasen desapercibidas, pero no deberíamos hacerlo en absoluto. Debemos ser más exigentes y si una empresa tan grande como Twitter o Github cometen errores de seguridad tan graves los usuarios deberíamos responder ante ellas.

No me importa que pienses, “qué más da yo apenas uso mi cuenta de twitter“. No se trata de eso, se trata de que, por un lado, están exponiendo tu privacidad y por otro, que, muy probablemente, usaste la misma contraseña para múltiples sitios, si alguien puede conseguir esa contraseña podrá acceder a otros servicios como tu correo electrónico, tu perfil en otra red social, tu ubicación, datos de tu cuenta bancaria, etc.

Ten cuidado con tu privacidad y recuerda si tienes que almacenar información sensible de tus usuarios en un sistema informático almacena SIEMPRE DICHA INFORMACIÓN ENCRIPTADA.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

Create a website or blog at WordPress.com

Up ↑

%d bloggers like this: