El día de ayer les conté de la tecnología detrás del nuevo Twitter y a las horas nomás la red de microblogging sufrió otra crisis de seguridad, muy grave en este caso, que llevó a los responsables a pedir que nadie utilice por un par de horas el sitio web. No pasó mucho tiempo para que lo solucionaran, pero el problema fue tan grave como molesto: con tan sólo pasar el cursor por encima de enlaces en los tuits se abrían en el navegador sitios externos. En el mismo día de ocurrido el fallo de seguridad, el equipo de ingenieros de Twitter publicó un post en el blog oficial dando todos los detalles sobre el problema.

El origen fue una inyección de código XSS (cross-site scripting), un exploit que aprovechando una vulnerabilidad permite ejecutar código (usualmente JavaScript) “de un sitio en otro”. Primero, un usuario descubrió la vulnerabilidad y creó una cuenta con la que hizo que los tuits aparezcan de distinto color y los vínculos se abran simplemente al pasar el ratón sobre ellos. Luego otros usuarios agregaron código debido al cual los usuarios hacían RT al mensaje original sin saberlo.

Eso fue todo, finalmente y según Twitter afortunadamente no se generó ningún tipo de daño ni se vulneró información de cuentas de usuarios. De todos modos, algo que pusieron en el post me llamó muchísimo la atención: “descubrimos este asunto el mes pasado y lo solucionamos, pero al actualizar el sitio recientemente volvió a surgir“.

En reiteradas ocasiones he criticado a Twitter pos los problemas que ha venido teniendo últimamente, pero cada vez que se daban a conocer cifras del crecimiento de la red social no podía evitar asombrarme de la enorme labor de ingeniería que representa mantener un sistema que escala a un ritmo tan impresionante. Ahora, es inaceptable que un sitio tan grande tenga tantos problemas, siempre por errores bastante tontos: un problema resurge nadie sabe por qué, una query hace que se reinicie el servidor, no entiendo cómo tienen tantos errores en Twitter y parece que no tomaran conciencia que están jugando con la seguridad de sus usuarios. Hoy no pasó nada grave, pero quién sabe qué podría haber ocurrido. Espero que les sirva la lección y la red social aumente sus defensas.

Vía: Mashable