El día de hoy se ha descubierto una falla de seguridad en TweetDeck, la cual permite ejecutar código Javascript de forma remota y sin autorización del usuario.
Por ahora se sabe que es una vulnerabilidad XSS que afecta al cliente de Chrome, provocando retuits a cuentas de extraños y mensajes de alerta. La cuenta oficial de la aplicación en Twitter señaló que el problema ya había sido arreglado, y que únicamente era necesario reingresar al servicio para que todo volviera a la normalidad.
A security issue that affected TweetDeck this morning has been fixed. Please log out of TweetDeck and log back in to fully apply the fix.
— TweetDeck (@TweetDeck) junio 11, 2014
Sin embargo, hace unos minutos el equipo de Tweetdeck informó que suspenderá todo el servicio hasta nuevo aviso, cuando el problema de seguridad haya sido reparado.
We’ve temporarily taken TweetDeck services down to assess today’s earlier security issue. We’ll update when services are back up. — TweetDeck (@TweetDeck) junio 11, 2014
Mientras la aplicación está de vuelta, te recomendamos cerrar tu sesión y utilizar Twitter desde la plataforma web.
Actualización (13:01): TweetDeck confirmó que ya ha solucionado el problema, y al parecer todo ha vuelto a la normalidad.
We’ve verified our security fix and have turned TweetDeck services back on for all users. Sorry for any inconvenience.
— TweetDeck (@TweetDeck) junio 11, 2014
¿Y qué pasó?
Más que un sofisticado ataque de hackers, la vulnerabilidad de TweetDeck radicó en su permisión para ejecutar código directamente desde la aplicación. De esta forma, si alguien publicaba alguna instrucción en el lenguaje de programación Javascript, el servicio no transformaba ese mensaje en texto plano, sino que lo corría en el navegador.
Como resultado, TweetDeck mostraba alertas extrañas y hacía retuits automáticos a otras cuentas, ya que muchas de sus funciones están en Javascript. Afortunadamente este tipo aplicaciones web están limitadas en su alcance, por lo que esta falla no afectó a otros sitios ni comprometió los datos del usuario. Aún así, lo sucedido hoy es un recordatorio de lo frágil que puede llegar a ser un servicio cuando alguien encuentra la forma de explotar un error.