Un grupo de investigadores de ciberseguridad descubrieron que 3,207 aplicaciones móviles están filtrando las claves de la API de Twitter al público, por un error del desarrollador.
Esto permite que las cuentas de Twitter sean secuestradas y sean utilizadas para realizar actividades maliciosas dentro de la plataforma.
Entre las actividades que los hackers podrían realizar se encuentran: la lectura de mensajes directos, envío de «Me gusta», eliminación de seguidores, seguimiento a otras cuentas, acceso a la configuración de la cuenta, entre otras.
¿Cómo sucede está filtración de datos en Twitter?
De acuerdo con CloudSEK, que fue la empresa encargada de realizar esta investigación, la filtración de las claves de la API de Twitter al público se da porque los desarrolladores de las aplicaciones olvidan borrar las claves de autenticación antes de lanzar su app al público.
Lo que permite que los hackers tengan acceso a este tipo de información a través del código fuente de las aplicaciones para realizar actividades maliciosas.
Por ejemplo, que las cuentas de Twitter sean utilizadas para difundir información falsa, realizar estafas, llevar a cabo campañas de malware, entre otras.
Ahora bien, se recomienda nunca almacenar claves directamente en una aplicación móvil para evitar dejar expuesta toda la información vinculada a las cuentas de los usuarios.
¿Cuáles son las aplicaciones que están filtrando datos?
CloudSEK compartió una lista de aplicaciones involucradas con BleepingComputer, pero no específico su nombre porque podrían poner en riesgo los datos de los usuarios en Twitter. La mayoría de estas aplicaciones aún no han corregido esta vulnerabilidad de seguridad.
Sin embargo, compartió que se trata de aplicaciones de transporte, lectores electrónicos, radio, periódicos, lectores de libros, agendas o incluso aplicaciones de banca electrónica.
Si tienes este tipo de aplicaciones vinculadas a tu cuenta de Twitter, te sugerimos que cierres siempre tu sesión para evitar tener cualquier tipo de problema más adelante. Por lo menos hasta que las aplicaciones decidan tomar cartas en el asunto.
Por el momento, el único nombre de aplicación que se ha compartido es el de Ford Events, ya que la Ford Motor Company actualizó recientemente la aplicación para eliminar las credenciales y solucionar el problema.