Un usuario cuya cuenta fue robada dijo que el sistema para el restablecimiento de la contraseña de Twitter es más fácil de burlar que el de otros servicios.

Usuarios de Twitter, especialmente miembros reconocidos en algunos ámbitos de la sociedad (políticos, periodistas, famosos) corren el riesgo de que su cuenta sea robada, esto según declaraciones de un usuario cuya cuenta fue recientemente hackeada, quien dijo existe una vulnerabilidad fundamental en el sistema de seguridad del servicio.

De acuerdo a Daniel Dennis Jones, cuya cuenta @blanket recientemente fue secuestrada, el proceso para la recuperación de la contraseña de Twitter permite a los hackers realizar ataques de fuerza bruta más amplios de los que se podrían realizar en otros servicios con sistemas más restringidos.

En un amplio reporte acerca de su experiencia reciente, Jones asegura haber descubierto que el sistema de seguridad de Twitter usa un límite de intentos de conexión basado en la dirección IP, en lugar de hacerlo basado en la cuenta, lo que implicaría que un atacante con posibilidades de ocupar varias IPs puede realizar una cantidad mayor de intentos de acceder a la cuenta que los que podría realizar en caso de que Twitter bloqueara todo acceso después de cierta cantidad de intentos de conexión fallidos, tomando como parámetro la cuenta usada, o si la red social empleara la autenticación de 2 factores, como lo hace Google.

La persona que hackeó la cuenta de Jones “utilizó un programa que realiza repetidamente intentos de inicio de sesión empleando contraseñas comúnmente usadas”, escribió en el portal BuzzFeed en relación a este suceso. “Muchos sitios, incluyendo Twitter, deshabilitan cuentas o arrojan un CAPTCHA después de cierto número de intentos fallidos de conexión, pero a diferencia de algunos servicios, incluido Gmail (que limita el acceso basándose en la cuenta), Twitter aparentemente sólo previene un número grande de intentos de conexión desde la misma dirección IP”.

Desde luego, este régimen de seguridad empleado por Twitter, probablemente no diste mucho del empleado por otros sitios. De acuerdo con Jeremiah Grossman, director de tecnologías de la información (CTO por sus siglas en inglés) y cofundador  de Whitehat Security, el ataque del cual Jones fue víctima “es sumamente común (…) tal vez Twitter podría fortalecer su sistema de seguridad y realizar un enfoque integral para hacer frente a los ataques de fuerza bruta, pero esto ocurrirá hasta que se presenten más usuarios molestos ante ésta situación”.

Grossman añadió, “Realmente la mejor manera para que los usuarios se protejan a sí mismos y a sus codiciadas cuentas, es escogiendo contraseñas fuertes que sean difíciles de adivinar. Un ladrón no podrá adivinar si tiene más de un millón de posibilidades para intentarlo.”

Twitter no ha respondido a la solicitud que le realizó el sitio CNET para hacer comentarios respecto a las declaraciones anteriores.

Jones relató que finalmente descubrió que su cuenta @blanket, al igual que otras cuentas que resultan atractivas debido a la persona a la que pertenecen estaban siendo vendidas, a un precio en función de la cuenta en cuestión, en un sitio llamado ForumKorner.

Sin embargo después de varios intentos para conseguir ayuda de Twitter, pudo recuperar su cuenta, al parecer sin daño alguno.