La historia de Naoki Hiroshima, desarrollador para la popular aplicación para Twitter Echofon de como lograron robar su cuenta de Twitter es bastante impresionante e increíble. Impresionante por la complejidad y a la vez facilidad con la que robaron su cuenta de Twitter e increíble porque aun no me puedo creer que dos grandes empresas de internet tengan sistemas de verificación tan básicos.
Según comenta Hiroshima en Medium, gracias a la intervención de GoDaddy y de PayPal, lograron robar su cuenta de Twitter “@N“, un usuario con una sola letra y que está altamente cotizada, tanto como hasta los USD$ 50.000 que le llegaron a ofrecer por ella.
La suplantación de identidad es algo que hoy en día es más común de lo que nos gustaría y tal como cuenta Hiroshima, con ciertas empresas involucradas puede ser muy sencilla. El ladrón de la cuenta de Twitter logró hacer una serie de pasos de verificación de una forma altamente preocupante.
Antes de nada, Hiroshima tiene su cuenta de Twitter registrada con una cuenta de correo electrónico de Google Apps con su propio dominio registrado en el popular GoDaddy. Para conseguir acceso a su cuenta de correo electrónico y por tanto, pedir un cambio de contraseña de “@N”, el ladrón llamó a PayPal para conseguir los últimos cuatro dígitos de su tarjeta de crédito, necesarios para que GoDaddy haga una comprobación de que eres la persona correcta. Preocupante es que PayPal, que almacena los datos de millones de tarjetas de crédito de datos como estos dígitos de control, pero también que GoDaddy tan solo acepte estos dígitos como control de que eres la persona que dices ser.
Una vez con acceso para cambiar la contraseña de GoDaddy y cambiando la configuración del servidor de correo a otro diferente, ya pudo pedir a Twitter que le mandasen un enlace para cambiar su contraseña y de ahí, tomar el control de “@N”.
Esta historia muestra que supuestamente dos grandes empresas de internet tienen poca preocupación por identificar realmente quien es o no es cliente suyo. Pero la facilidad para robar una identidad, aunque sea en Twitter es demasiado simple.
La verificación a dos pasos es un ejemplo de sistemas que debemos tener activado para evitar estos problemas, aunque en la gran mayoría de personas esto sea innecesario, siempre es una garantía extra de seguridad. El propio Hiroshima comenta que esto quizá no hubiese pasado si no usase una cuenta de correo electrónico alojada en Google Apps y registrada con GoDaddy, en este caso es quizá mucho mejor usar una cuenta de correo de una empresa que se tome más en serio la seguridad, ya sea Gmail, Outlook o Yahoo, entre otras muchas, claro.
Recuerda, “la seguridad es una ilusión”, pero usa todas las herramientas de seguridad, contraseñas difíciles y lo que se te ocurra para que algo así nunca te pase.
Link: Medium