En el reciente ataque a Twitter en que se comprometió información de unos 250,000 usuarios, puede que el reseteo forzado de la contraseña en Twitter no fuera suficiente para arreglar el problema, señala el blog Talking Identity. Los problemas pueden continuar mediante el empleo de tokens OAuth.
El blog observa que el empleo de tokens OAuth permiten que aplicaciones de terceros accedan a Twitter, incluso aunque se hayan reseteado las contraseñas. El reseteo forzado de contraseñas en Twitter no cerró completamente el acceso de aplicaciones al sitio.
Esto significa que los hackers podrían entrar al sistema y activar un token OAuth que les siguiera permitiendo el acceso después que se ha detenido el ataque.
Este escenario tiene implicaciones para los negocios que aplican políticas de llevar su propio dispositivo (BYOD) y tienen empleados que suelen autorizar aplicaciones sin controlarlas sobre una base regular.
La falta de supervisión sobre esas aplicaciones y los tokens OAuth empleados pueden significar que una aplicación indeseable de un tercero tenga acceso a los servicios de nube de una compañía, lo que puede conducir a más incidencias en cuanto a datos comprometidos.
