Ayer, un hacker que se hace llamar Mauritania Attacker declaró haber accedido a toda la base de datos de los usuarios de Twitter. Más adelante, publicó datos de más de 15,000 cuentas que incluían nombre de usuario y los tokens de autenticación (OAuth) que usan las aplicaciones externas para tener acceso a la cuenta, pero no había contraseñas.
Especialistas de seguridad llegaron a la conclusión de que el hacker creó una aplicación fraudulenta —cuyo nombre no fue especificado— que se conectaba a Twitter con la autorización de los usuarios, creando los tokens OAuth que después llegaron a manos de Mauritania Attacker. El hacker aseguró que había accedido a varias cuentas usando estos tokens, pero no fue así.
“Hemos investigado la situación y podemos confirmar que no hubo cuentas de Twitter comprometidas”, dijo un representante de la red social de microblogging.
Los tokens OAuth sólo sirven para permitir que las aplicaciones externas publiquen tweets en nombre de sus usuarios sin necesidad de conocer sus contraseñas. A pesar de que el hacker tenga la posibilidad de tweetear a través de las cuentas de los usuarios afectados, el problema se arregla cuando las víctimas revocan el acceso de la aplicación en las opciones de Twitter.
