Querido Leitor

15 de agosto de 2010 às 18h31

Uma falha grave que pode afetar seu Twitter

Tags: ,

major Uma falha grave que pode afetar seu Twitter Viver é muito perigoso. Se estivesse vivo talvez Guimarães Rosa dissesse que twittar também é. Eu já tive minha conta hackeada, já vi gente ser invadida, já acompanhei o drama do Aguinaldo Silva que viu milhares de imagens sendo postadas em seu perfil. Sempre que posso dou uma ajuda, como aconteceu no caso dele.

Quando minha conta foi invadida, aliás, eu consegui postar na minha ex-conta, em posse do ladrão, através de um parceiro. E é aí que a falha reside.Não é só a segurança do Twitter, mas de todos os parceiros que a gente usa.Vou explicar melhor.

Cada vez que você usa um site parceiro do Twitter, seja para subir uma foto, transmitir em streaming ao vivo por uma webcam e pelo celular ou apenas para usar um serviço de limpeza de mensagens, você tem que autorizar esse uso. É o Oauth, uma permissão para acessar sua conta.

Depois de usar o serviço a gente deveria ir lá em Settings/Connections e revogar a autorização. Mas ninguém faz isso. Ninguém. E alguns serviços são MUITO usados, por todo mundo, como todos os aplicativos que usamos no celular, por exemplo. Foi num desses parceiros q quase todo mundo usa que descobri a falha, teoricamente falando.

securitytweet 450x311 Uma falha grave que pode afetar seu Twitter Um desses parceiros (são dezenas de MILHARES e o departamento de segurança do Twitter pediu para que eu não publique qual e nem A FALHA em si até que eles resolvam)  tem uma vulnerabilidade absurda. Qualquer pessoa, mesmo sem saber programação, poderia usar essa falha e postar na timeline de praticamente qualquer pessoa. Imagine o estrago. Imagine o uso político. Avalie o que seria se uma pessoa entrasse agora no perfil de um candidato falando de seu oponente. Ou um artista falando do outro. Ou uma empresa falando de uma concorrente. Não é preciso pedir pra você imaginar, você sabe muito bem o que significa ter acesso à publicação NA CONTA DE QUALQUER PESSOA NO TWITTER. No Brasil e no mundo todo.

Para não fazer o teste à mão, que levaria muito tempo, falei com o Dan Salles, o @danilo do Twitter, meu amigo e programador, um entusiasta do Twitter. Danilo rapidamente entendeu a falha e criou um programa matemático para gerar combinações numéricas. Para não fazer as permutações à mão, ele usou o programa. Em seguida, foi só uma questão de horas para ele quebrar o meu código. Ele quebrou o código de acesso do @farofa através de um parceiro e postou NA MINHA Timeline. Já apaguei, evidentemente, ele também. Mas é assustador ver alguém postando na sua conta. Veja o que ele diz sobre a experiência:

"Ontem a @rosana chegou com a ideia de gerar uma série de combinações para testar a vulnerabilidade de um parceiro do Twitter. Sem pensar, já corri para desenvolver um programa para explorar tal falha. O teste foi um sucesso, e em menos de 2hrs revelou o que eu precisava de um perfil desconhecido. Ou seja, é possível conseguir acesso a qualquer perfil no twitter em poucas horas e twittar qualquer coisa desde que esta conta esteja integrada ao serviço parceiro. " (@danilo)

Foi exatamente o que aconteceu com o Posterous, que eu usava para mandar posts pro meu perfil @rosana. Quando fui hackeada, o ladrão não o desabilitou, não revogou o acesso e eu continuei podendo postar remotamente na minha conta hackeada! Foi assim que postei um pedido de ajuda ao Twitter e fui prontamente atendida. Imagine, é como se o carro roubado tivesse um alto-falante que você aciona por celular. O ladrão sai dirigindo seu carro e você, pelo celular, grita por socorro e denuncia o motorista.

netikdois 450x271 Uma falha grave que pode afetar seu Twitter Assim que vimos que a coisa funcionava, deu uma tremedeira. O que fazer com esta responsabilidade? Onde publicar? Pra quem contar? Abrir um ticket demora e hoje é domingo. Não dava pra postar no blog direito porque eu estava em Águas de S. Pedro arrumando as coisas pra voltar pra São Paulo. Tentei avisar algumas pessoas sobre a falha.

Até que postei a tag #MajorSecurityFlaw. Imediatamente, recebi um reply do @Netik,com o email da segurança do Twitter. Duas mensagens, aliás. Mandei por email, como John pediu e não estou divulgando nem a falha exata  nem o nome do serviço. Mas fica aqui o alerta. Não saia autorizando qualquer coisa e, depois de autorizar o serviço, vá em Settings/Connections e revogue-os. E, claro, nunca dê seu login e senha pra ninguém. É a mesma coisa que trancar a porta e pendurar a chave na maçaneta. Agora, eu e o @danilo provamos que é possível postar na conta de quase qualquer perfil do Twitter. Mas não o fizemos, claro.

Achamos que deveríamos avisar as pessoas e em função disso discutimos muito a melhor forma de fazer.  Seria muito simples postar na timeline do  próprio @biz e chamar a atenção dele. Até que conclui que, se eu descobrisse o segredo da combinação do seu cofre, você ia gostar muito mais de achar um bilhetinho com o aviso da descoberta do lado de fora, do que do lado de dentro do cofre. Duro foi controlar o impulso infantil de postar um #chupa na conta do @aplusk. icon smile Uma falha grave que pode afetar seu Twitter

E, qualquer coisa, desculpe nossa falha.

@rosana , @danilo

UPDATE - A falha é no TWITPIC - leia aqui

PS - Leia mais no R7

comentarios-icon18 Comentários »
Um beijo, um browse, um aperto de mouse da @rosana
  • Twitter
  • RSS
  • Facebook
Enviar por E-Mail Enviar por E-Mail

Notícias

Entretenimento

Esportes

    Vídeos

      Jornais

      Rádios

      Record Internacional

      Arca Universal

      Line Records

      Record Entretenimento

      Record News

      Ir para a home do site
      Todos os direitos reservados - 2009-2011 Rádio e Televisão Record S/A