{"id":1007422,"date":"2024-02-13T14:45:14","date_gmt":"2024-02-13T14:45:14","guid":{"rendered":"https:\/\/magazineoffice.com\/el-rival-de-twitter-spoutible-alega-una-campana-de-difamacion-en-medio-de-una-controversia-sobre-violaciones-de-seguridad\/"},"modified":"2024-02-13T14:45:17","modified_gmt":"2024-02-13T14:45:17","slug":"el-rival-de-twitter-spoutible-alega-una-campana-de-difamacion-en-medio-de-una-controversia-sobre-violaciones-de-seguridad","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/el-rival-de-twitter-spoutible-alega-una-campana-de-difamacion-en-medio-de-una-controversia-sobre-violaciones-de-seguridad\/","title":{"rendered":"El rival de Twitter, Spoutible, alega una campa\u00f1a de difamaci\u00f3n en medio de una controversia sobre violaciones de seguridad"},"content":{"rendered":"
\n<\/p>\n
Un usuario de la alternativa Spoutible a Twitter\/X afirma que la compa\u00f1\u00eda elimin\u00f3 sus publicaciones despu\u00e9s de presionar al CEO de Spoutible, Christopher Bouzy, para que fuera m\u00e1s honesto sobre la naturaleza de su reciente problema de seguridad. Las afirmaciones, que la compa\u00f1\u00eda niega, son el \u00faltimo giro extra\u00f1o en la saga de incidentes de seguridad que tuvo lugar la semana pasada en la startup.<\/p>\n
La semana pasada, Bouzy reconoci\u00f3 una vulnerabilidad de seguridad que, seg\u00fan dijo, hab\u00eda expuesto los correos electr\u00f3nicos y n\u00fameros de tel\u00e9fono de los usuarios en su startup, posicionada como un Twitter m\u00e1s inclusivo y amable. Sin embargo, el investigador de seguridad Troy Hunt, creador del sitio web Have I Been Pwned, que permite a las personas comprobar si sus datos se vieron comprometidos en una violaci\u00f3n de datos, descubri\u00f3 que la API de desarrollador de Spoutible tambi\u00e9n estaba exponiendo informaci\u00f3n que los malos actores podr\u00edan haber utilizado para tomar sobre las cuentas de los usuarios sin que ellos lo sepan.<\/p>\n
Hunt detall\u00f3 sus hallazgos sobre ese cargo mucho m\u00e1s serio en su sitio web, se\u00f1alando que la API Spoutible devolvi\u00f3 datos que incluyen el hash bcrypt de la contrase\u00f1a de cualquier otro usuario, adem\u00e1s de secretos 2FA (de dos factores) y el token que podr\u00eda reutilizarse para restablecer la contrase\u00f1a de un usuario. contrase\u00f1a.<\/p>\n
En resumen, esta vulnerabilidad era altamente explotable y podr\u00eda haber permitido que un mal actor se hiciera cargo de la cuenta de un usuario sin que este lo supiera, como inform\u00f3 The Verge en ese momento. Hunt hab\u00eda sido alertado sobre este problema por un tercero que afirm\u00f3 haber extra\u00eddo datos del servicio de Spoutible. Como la cuenta de Have I Been Pwned confirmado en X<\/a>Spoutible ten\u00eda 207.000 registros de usuario eliminados de su API mal configurada, incluidos \u00abnombre, correo electr\u00f3nico, nombre de usuario, tel\u00e9fono, g\u00e9nero, hash de contrase\u00f1a de bcrypt, secreto 2FA y token de restablecimiento de contrase\u00f1a\u00bb.<\/p>\n En junio pasado, Spoutible ten\u00eda 240.000 usuarios registrados, por lo que la infracci\u00f3n afect\u00f3 a una buena parte de la base de usuarios de la red social m\u00e1s peque\u00f1a.<\/p>\n El investigador de seguridad explic\u00f3 que la vulnerabilidad podr\u00eda haber sido explotada por malos actores, que habr\u00edan podido obtener una versi\u00f3n hash de las contrase\u00f1as de los usuarios. Aunque las contrase\u00f1as estaban protegidas mediante bcrypt, las contrase\u00f1as m\u00e1s cortas podr\u00edan haber sido m\u00e1s f\u00e1ciles de adivinar y descifrar. Adem\u00e1s, no se enviar\u00eda ninguna notificaci\u00f3n por correo electr\u00f3nico al titular de la cuenta sobre el cambio de contrase\u00f1a, por lo que nunca habr\u00eda sabido si su cuenta ya no estaba bajo su control, se\u00f1al\u00f3 Hunt.<\/p>\n Este tipo de cosas habr\u00eda sido un problema para cualquier startup, pero particularmente para una en la que la base de usuarios est\u00e1 llena de usuarios pioneros que pueden simplemente haber probado Spoutible por un tiempo antes de pasar a otra alternativa de Twitter, dejando cuentas semiabandonadas listas para usar. la toma.<\/p>\n