Ieri sera, mentre mi stavo rilassando dopo un lungo viaggio, immagina la mia sorpresa quando ho iniziato a ricevere uno tsunami di risposte @ sul mio account Twitter. A quanto pare stavo inviando un messaggio diretto a una serie di persone che non conosco con un collegamento a qualcosa che inizia http://videos.
Ieri sera, mentre mi stavo rilassando dopo un lungo viaggio, immagina la mia sorpresa quando ho iniziato a ricevere uno tsunami di risposte @ su il mio account Twitter. A quanto pare stavo inviando un messaggio diretto a una serie di persone che non conosco con un collegamento a qualcosa che inizia http://videos.twitter... tranne che non ero io. L'immagine sopra è ciò che vedi quando si fa clic sul collegamento (e no, non fornirò il collegamento). NON è divertente.
Fortunatamente, Roberto Scoble aveva capito cosa stava succedendo e aveva inviato il messaggio:
@Scobleizer: non fare clic sui link inviati in DM @dahowlett e molti altri vengono colpiti da quelli ESP che iniziano http://video
In quel momento non ero vicino al mio iMac o al mio laptop, quindi non potevo realisticamente esaminare il problema. Ci sono limitazioni per Tweetie su iPhone. Ho inviato un messaggio Tweet a @ev urlando AIUTO!!!
@dahowlett Santo cielo. Questa cosa dell'hacking fa schifo. Mi stanno bombardando. Chiunque riceva DM da "me" con http://video. NON SONO IO @ev? AIUTO!!!
Come da tradizione, non ho ricevuto risposta da nessuno su Twitter. Data la natura del servizio non me lo aspettavo. Non sono il solo - vedere l'immagine qui sotto tratta dall'account di Scoble:
Fortunatamente ho diversi buoni amici che mi hanno contattato con vari suggerimenti su come risolvere il problema. Il preferito sembrava essere un cambio di password. Non ho idea di come sia avvenuto l'hacking, soprattutto considerando che ho utilizzato una password alfanumerica di 10 caratteri che Twitter ha classificato come "buono", ma è ancora un altro esempio di come questo popolare servizio possa catturare le persone fuori.
Scoble e io potremmo non essere d'accordo su una serie di argomenti, ma sono stato grato che abbia avvertito le persone di quello che sta succedendo. L'ho chiamato per vedere se poteva farmi luce sul problema. Sfortunatamente non ha potuto e, come puoi vedere dal suo Tweetstream, non sembra che Twitter abbia affrontato la questione pubblicamente. Nemmeno gli articoli di tendenza ne parlano. Tuttavia, l'ho notato L'account di Twitterrobot è stato sospeso.
Un suggerimento molto utile è stato quello di garantire che la password utilizzata per Twitter sia unica per quel servizio. È qualcosa che avevo fatto comunque, quindi sembra che almeno un servizio che utilizzo sia stato violato o venga utilizzato per scopi poco onorevoli. Da allora ho revocato l'accesso a diversi altri servizi.
Secondo Dan Goodin del The Register, il problema potrebbe risiedere all'interno di OAuth:
"A meno che tu non revochi questi token [app aggiuntiva Twitter] quando cambi la password, un utente malintenzionato avrà comunque accesso al tuo account Twitter", ha affermato [Terence] Eden, che si occupa di problemi di usabilità dei clienti per una grande azienda di telecomunicazioni. "Twitter non lo rende meravigliosamente chiaro.
Qualunque sia il problema, dimostra ampiamente cosa può accadere quando un fornitore non controlla l'uso di un'API aperta. Questo è qualcosa di cui ho parlato altrove, con grande derisione dei venditori che vorrebbero pensare che "non capisco". Confido che si stiano rimangiando le parole. Le questioni di sicurezza e un atteggiamento laissez faire nei confronti delle API distruggeranno sicuramente la reputazione più velocemente della spada laser di Luke Skywalker.