Egor Homakov es el investigador de seguridad que descubrió una vulnerabilidad en la función de mensajes directos de Twitter. El error permite que aplicaciones externas a la empresa social puedan enviar DM sin tener el permiso explícito del usuario.

El caso fue citado y comprobado por The Next Web. La app Twitpic es una de los programas que no piden acceso a sus DMs cuando se conecta con la cuenta.  Por otro lado, hay aplicaciones que bloquean esta características, como Buffer.  

Homakov da tres razones para atender este error:

• Con este acceso directo, la protección del usuario sería nula.
• Los DM son más fáciles de usar para el spam. 
  
• El mensaje directo no muestra si se enviaron mensajes a través del cliente oficial de Twitter o de un cliente externo. Como resultado de ello, el defecto podría ser utilizado para el phishing (robo de identidad).

En el caso de que  Twitpic–o cualquier otra app de Twitter –envíe un mensaje por su cuenta a los contactos, el dueño del perfil no lo sabra hasta que uno de sus amigos le respondan el mensaje.    

El desarrollador DaKnOb, dice que encontró la falla hace un año y lo reportó a Twitter. La compañía en ese entonces indicó que no era algo de lo cual preocuparse.

Vía The Next Web

@DaKnObCS do you understand where the vulnerability is? That oauth apps can send DMs w/o permission to do that

— Egor Homakov (@homakov) diciembre 14, 2013

El phishing es una modalidad de estafa en la red que se caracteriza por adquirir información confidencial de forma delictiva. Usuarios inescrupulosos se encargaron de llevarla a la red social Pinterest.

La estafa que más se ha extendido es la de una tarjeta de regalo de Starbucks, con el lema «tarjetas de regalo gratis a todos los usuarios Pinterest». Existe un lenguaje similar entre todas las formas en las que se presenta el phishing.

En Pinterest—donde todo parecía perfecto— «los usuarios pueden llegar a confundir lo legal con una estafa ya que la plataforma es relativamente nueva y las personas no han tenido mucho contacto con la red», refiere Cameron Camp, investigador de seguridad de ESET.

«La red no ha tenido tiempo para incluir medidas de protección para el usuario, por lo que los estafadores pueden tomar control de la situación», advierte Camp.

No cabe duda de que Pinterest es el lugar ideal para crear colecciones impresionantes en los llamados tablones. Sin embargo, las estafas disfrazadas en imágenes se mezclan sin ningún problema.

«Los usuarios deben presentar una queja ante Pinterest, y solicitar que se pongan en marcha para detener a los estafadores», aseveró Camp.

Vía Readwriteweb