Semanas después de que el exjefe de seguridad de Twitter acusara a la empresa de mala gestión de la seguridad cibernética, Twitter ahora ha informado sus usuarios de un error que no cerró todas las sesiones de inicio de sesión activas de un usuario en Android e iOS después de que se restableció la contraseña de una cuenta. Este problema podría tener implicaciones para aquellos que habían restablecido su contraseña porque creían que su cuenta de Twitter podría estar en riesgo, tal vez debido a la pérdida o el robo de un dispositivo, por ejemplo.
Suponiendo que quienquiera que estuviera en posesión del dispositivo pudiera acceder a sus aplicaciones, habría tenido acceso completo a la cuenta de Twitter del usuario afectado.
En una entrada de blog, Twitter explica que se enteró del error que permitió que “algunas” cuentas permanecieran conectadas en varios dispositivos después de que un usuario restableciera su contraseña voluntariamente.
Por lo general, cuando se restablece la contraseña, también se revoca el token de sesión que mantiene al usuario conectado a la aplicación, pero eso no sucedió en los dispositivos móviles, dice Twitter. Sin embargo, las sesiones web no se vieron afectadas y se cerraron adecuadamente, señaló.
Twitter explica que el error se produjo después de un cambio que realizó el año pasado en los sistemas que activaron los restablecimientos de contraseña, lo que significa que el error ha existido durante varios meses sin ser detectado. Para abordar el problema, Twitter ahora ha informado directamente a los usuarios afectados, los ha desconectado de forma proactiva de sus sesiones abiertas en todos los dispositivos y les ha pedido que vuelvan a iniciar sesión. Sin embargo, la compañía no detalló cuántas personas se vieron afectadas.
“Nos tomamos muy en serio nuestra responsabilidad de proteger su privacidad y es lamentable que esto haya sucedido”, escribió Twitter en su anuncio, donde también alentó a los usuarios a revisar sus sesiones abiertas activas regularmente desde la configuración de la aplicación.
El problema es el último de una larga lista de incidentes de seguridad en la empresa en los últimos años, aunque no es tan grave como algunos del pasado, como el error informado el mes pasado que expuso al menos 5,4 millones de cuentas de Twitter. En ese caso, una vulnerabilidad de seguridad había permitido a los actores de amenazas recopilar información en las cuentas de los usuarios de Twitter, que luego se pusieron a la venta en un foro de ciberdelincuencia.
En mayo pasado, Twitter también se vio obligado a pagar $ 150 millones en un acuerdo con la Comisión Federal de Comercio por usar información personal proporcionada por los usuarios para proteger sus cuentas, como correos electrónicos y números de teléfono, con fines de orientación de anuncios. Y en 2019, Twitter reveló un error que había compartido los datos de ubicación de algunos usuarios con los socios y otro que también llevó a que los datos de los usuarios se compartieran con los socios. Además, se enfrentó a un problema en el que un investigador de seguridad había utilizado una falla en la aplicación de Android para hacer coincidir 17 millones de números de teléfono con cuentas de usuarios de Twitter.
Si bien es útil que Twitter sea transparente sobre los errores que encuentra y las correcciones que realiza, los problemas generales de seguridad cibernética de la compañía ahora están bajo un mayor escrutinio luego de la denuncia presentada por su exjefe de seguridad, Peiter “Mudge” Zatko en agosto.
Zatko alegó que la empresa ha sido negligente al proteger su plataforma, citando problemas que incluyen la falta de seguridad en los dispositivos de los empleados, la falta de protección en torno al código fuente de Twitter, el acceso excesivo de los empleados a datos confidenciales y al servicio de Twitter, una serie de vulnerabilidades sin parchear, la falta de cifrado de datos para algunos datos almacenados, un número excesivamente alto de incidentes de seguridad y más, así como amenazas a la seguridad nacional.
En este contexto, incluso los errores menores como el revelado esta semana pueden no considerarse errores únicos de una empresa, sino otro ejemplo más de problemas de seguridad más amplios en Twitter que merecen más atención.