Recientemente han aparecido bastante servicios que funcionan sobre Twitter y que nos habilitan funciones que el sitio original no permite, como puede ser publicar en dos cuentas al mismo tiempo. Tal como funciona Twitter, en este momento es imprescindible dar nuestro usuario y contraseña a esos servicios para que funcionen correctamente.
El problema es que una vez se lo hemos dado puede resultar imposible recuperar el control sobre nuestra cuenta, al menos hasta que desde Twitter modifiquen el control de acceso que tienen ahora, basado en cookies. Cuando accedemos a la página (o cuando lo hace uno de esos servicios) y nos identificamos con el usuario y la contraseña, Twitter devuelve una cookie que podemos usar a partir de ese momento.
Pero esa cookie tiene un tiempo de caducidad muy largo y el problema principal es que no se invalida al cambiar la contraseña. Por tanto, mientras disponga de la cookie, el servicio puede seguir accediendo a nuestra cuenta de Twitter.
Aun peor, si la aplicación es realmente maliciosa podría incluso dejarnos sin cuenta. Solo tendría que cambiar la dirección de correo con la que estamos registrados en el servicio y pedir un reseteo de contraseña, activando la nueva al recibir ese correo.
