Twitter, afectado por un bug que facilitaba el robo de cookies

Los enlaces cortos son casi indispensables si queremos compartir sitios de nuestro interés en Twitter. Pero su concepción poco descriptiva, combinada con fallos de seguridad en la red de microblogging, pueden significar más dolores de cabeza que soluciones. Un ejemplo es el bug descubierto, que permitió robar las cookies de los usuarios, tras pulsar sobre un vínculo malicioso acortado con Bit.ly.

Como de costumbre, el tweet aparentaba ser totalmente inofensivo, anunciando el supuesto accidente trágico de la banda de pop Restart. Los investigadores de Kaspersky explicaron que, al picar sobre el enlace, la información de sesión guardada en el navegador del miembro era enviada a dos servidores específicos.

Esto pasó porque el sistema de documentación para desarrolladores de Twitter no verificaba las cadenas de texto que recibía por medio de la URL, permitiendo inyectar código en las páginas, algo conocido como cross site scripting. Así, fue posible que el atacante obtuviera acceso a la sesión del usuario, hasta tanto él mismo la cerrara.