DMs do Twitter poderiam ser facilmente roubadas, diz especialista em segurança

Thássius Veloso
• Atualizado há 1 ano e 1 mês

Eu sabia… Ainda teria que dar essa notícia algum dia. Como o Twitter é um site que até hoje está cheio de brechas de segurança, chegou o momento que todos temíamos: uma falha pode dar controle das DMs enviadas e recebidas para usuários mal intencionados. Sabe aquelas informações sigilosas que ninguém deveria conhecer? Cuidado, elas podem se tornar públicas.

O alerta foi dado por Gary-Adam Shann, especialista em segurança que analisou a forma como aplicativos podem interagir com o serviço de microblog do passarinho azul. De acordo com Shann, seria muito fácil obter acesso às DMs de uma pessoa. Para tanto, bastaria criar um aplicativo que necessite de autenticação dentro do Twitter. A partir daí, um usuário maldoso teria como acessar as benditas DMs e torná-la públicas – ou fazer o que quisesse com elas, para dizer a verdade.

Mais vale uma Fail Whale na mão que várias DMs voando por aí

Diferentemente das últimas falhas que acometeram o Twitter e o Orkut, esse tipo de exploração não envolveria técnicas XSS, nas quais um código armazenado em um servidor de terceiros é executado pelo navegador a partir de um tweet ou scrap. Em vez disso, seria necessário ter acesso ao API – que é público – do Twitter, a forma com a qual aplicativos podem puxar informações de dentro da conta do usuário.

Basicamente Shann descreve o que aplicativos como TweetDeck e Echofon já fazem: oferecem uma interface mais bonita, mas explorando as funcionalidades do Twitter. Com esses apps é possível receber e enviar DMs, o que prova que desenvolvedores poderiam ter acesso a esse tipo de informação.

No exemplo do especialista em segurança temos um plugin para WordPress que, depois de modificado, faria com que qualquer interação com o site feita a partir de autenticação com o website resultasse na obtenção das DMs do usuário. Essas mensagens diretas poderiam ser tranquilamente enviadas para o e-mail do dono do site, de forma bastante simples.

O Twitter ainda não se manifestou sobre o ponto levantado pelo especialista.

Com informações: MSNBC/Technolog, Search Engine Watch.

Leia | Como ver solicitações de mensagens no Instagram

Responde

Use a rede social para enviar uma mensagem de voz a um amigo; recurso está disponível somente para quem usa o aplicativo do Twitter
Como enviar uma DM por voz no Twitter
Veja como excluir o X (Twitter) definitivamente ou dar um tempo na rede social desativando por até 30 dias o seu microblog
Como excluir ou desativar a sua conta do X (Twitter)
Confira a lista com os atalhos de navegação, interação ou de mídias do X (Twitter) para tornar a navegação mais rápida na rede social
Todos os atalhos de teclado do X (Twitter)
Saiba como trancar a sua conta no X (Twitter) e deixe seus posts disponíveis somente para seguidores na rede social
Como privar sua conta no X (Twitter) para proteger o conteúdo das publicações

Relacionados

Saiba como mudar o seu nome no X (Twitter), tanto o nome de usuário (a arroba) quanto o nome de exibição
Como mudar o nome no X (Twitter)?
O Twitter Spaces é a resposta do Twitter ao Clubhouse. Entenda como funciona o novo recurso de áudio criado para a rede social
Como funciona o Twitter Spaces
É possível recuperar o acesso a uma conta do Twitter bloqueada por ter sido criada antes dos 13 anos; veja como fazer
Conta bloqueada? Como recuperar o Twitter se você o criou com menos de 13 anos
Veja como remover seguidores no X (Twitter) para evitar interações com alguns usuários e também escapar de conteúdos indesejáveis no seu feed
Como remover seguidores no X (Twitter) sem bloquear

Escrito por

Thássius Veloso

Thássius Veloso

Editor

Thássius Veloso é jornalista especializado em tecnologia. Desde 2008, participa das principais feiras de eletrônicos, TI e inovação. Thássius é editor do Tecnoblog e também atua como comentarista da CBN, palestrante e apresentador de eventos. Já colaborou com o Jornal Nacional e a GloboNews, entre outros veículos. Ganhou o Prêmio Especialistas em duas ocasiões e foi indicado diversas vezes ao Prêmio Comunique-se. Pode ser encontrado como @thassius nas redes sociais.