La contraseña de los servidores de Twitter era “password”
Durante esta semana, la sorpresa ha sido un grave despiste de seguridad en Twitter que ha dejado expuestos toneladas de documentos internos de la empresa. TechCrunch ha tenido acceso a ellos y, tras un breve debate cogido con pinzas sobre si era ético o no publicarlos (sólo para justificarse), ha publicado algunos de los más jugosos. Los documentos internos estaban en Google Docs, y alguien pudo acceder a ellos descubriendo la respuesta a la pregunta secreta para recuperar la contraseña de una de las cuentas.
Cualquiera que sepa lo que es la ingeniería social, estará de acuerdo en que la “pregunta secreta” es una de las peores ideas de la historia en cuanto a seguridad. Es MUY fácil dar con la respuesta buscando un poco sobre el propietario de la cuenta, tener acceso así a sus cuentas de correo, y de ahí a su cuenta bancaria, dominios, planes y proyectos. Nunca uses la opción de la “pregunta secreta” si te la ofrecen.
Pero quiero destacar un detalle sobre cómo de débiles son los mecanismos de seguridad en Twitter. Hasta hace un par de días, la contraseña para acceder a los servidores de Twitter era “password”. Así de obvio e idiota, como el mismo registro en Twitter te indica. Cualquiera que probara suerte con algo tan simple podía acceder al panel de administración del sitio, con lo que eso supone.
En cuanto a los documentos expuestos, no van a acabar con Twitter, pero desde luego dejan a la compañía en una situación muy embarazosa. Según Biz Stone, “podrían enrarecer las relaciones con socios actuales o en proyecto”. Entre ellos había acuerdos con empleados, agendas de los fundadores, horarios de citas con candidatos a varios puestos, registros y facturas de teléfono, previsiones financieras, proyecto para un show de TV sobre Twitter, acuerdos de confidencialidad con AOL, DELL, Ericsson o Nokia, lista de restricciones de dietas a empleados, tarjetas de crédito, cuentas de Paypal…
Son especialmente delicados los resúmenes de reuniones. En ellas trazan no sólo los planes de futuro de la empresa, sino aspectos de relaciones con Google, Microsoft y otros socios de menor tamaño. Por ejemplo, un tema del día fue “¿Compramos TwitPic?”, y se decidió no hacerlo. En las reuniones se da el visto bueno a webs y aplicaciones de tercero, y las que no pasan el corte en estas reuniones llegan a desaparecer, como el sitio de micropagos Mogees.
Pero sobre todo hay una lección en todo esto. Nunca, jamás consideres que tus documentos confidenciales están suficientemente protegidos. Una falsa sensación de seguridad es lo peor que puede pasarte. Si varias personas tienen acceso a documentos que pueden poner en riesgo proyectos y contratos, asegúrate de que entienden la importancia de este hecho, y que no usan “password” como contraseña.
Vía: TechCrunch, Versvs y Genbeta
