Introducir tu contraseña de Twitter en un formulario web nunca es buena idea, entre otras cosas porque el servicio cuenta con una API segura para autorizar el acceso de terceros. Pero justo eso es lo que han hecho decenas de asistentes a una conferencia de RSA Security, una conocida empresa de ciberseguridad.

Resulta que, en un momento del registro, la web del RSA Executive Security Action Forum solicita la contraseña de Twitter de los asistentes para publicarles un mensaje automatizado. El problema es que la página no usa OAuth (el protocolo estándar de autorización) sino un formulario en el que la contraseña se introduce en texto plano sin ningún tipo de protección; una práctica de seguridad terrible, de parte de una de las empresas de seguridad más importantes del mundo.

Doblemente paradójico es que decenas de asistentes, supuestos expertos de seguridad de la industria informática, metieron sus datos sin más, dejando que la web conozca la contraseña a cambio de avisar a sus followers de que van a estar en el evento de San Francisco el próximo 29 de febrero:

Otros más avispados se dieron cuenta del potencial problema y comprobaron que, efectivamente, las contraseñas de todos esos asistentes se estaban introduciendo en texto plano en la base de datos del servidor de RSA, seguramente por ineptitud y no con segundas intenciones:

El error ya está enmendado, pero las risas de algunos (verdaderos) expertos permanecerán en el archivo de Twitter:

[vía The Register]

***

Psst! también puedes seguirnos en Twitter y Facebook :)