Eu sabia… Ainda teria que dar essa notícia algum dia. Como o Twitter é um site que até hoje está cheio de brechas de segurança, chegou o momento que todos temíamos: uma falha pode dar controle das DMs enviadas e recebidas para usuários mal intencionados. Sabe aquelas informações sigilosas que ninguém deveria conhecer? Cuidado, elas podem se tornar públicas.
O alerta foi dado por Gary-Adam Shann, especialista em segurança que analisou a forma como aplicativos podem interagir com o serviço de microblog do passarinho azul. De acordo com Shann, seria muito fácil obter acesso às DMs de uma pessoa. Para tanto, bastaria criar um aplicativo que necessite de autenticação dentro do Twitter. A partir daí, um usuário maldoso teria como acessar as benditas DMs e torná-la públicas – ou fazer o que quisesse com elas, para dizer a verdade.
Mais vale uma Fail Whale na mão que várias DMs voando por aí
Diferentemente das últimas falhas que acometeram o Twitter e o Orkut, esse tipo de exploração não envolveria técnicas XSS, nas quais um código armazenado em um servidor de terceiros é executado pelo navegador a partir de um tweet ou scrap. Em vez disso, seria necessário ter acesso ao API – que é público – do Twitter, a forma com a qual aplicativos podem puxar informações de dentro da conta do usuário.
Basicamente Shann descreve o que aplicativos como TweetDeck e Echofon já fazem: oferecem uma interface mais bonita, mas explorando as funcionalidades do Twitter. Com esses apps é possível receber e enviar DMs, o que prova que desenvolvedores poderiam ter acesso a esse tipo de informação.
No exemplo do especialista em segurança temos um plugin para WordPress que, depois de modificado, faria com que qualquer interação com o site feita a partir de autenticação com o website resultasse na obtenção das DMs do usuário. Essas mensagens diretas poderiam ser tranquilamente enviadas para o e-mail do dono do site, de forma bastante simples.
O Twitter ainda não se manifestou sobre o ponto levantado pelo especialista.
Com informações: MSNBC/Technolog, Search Engine Watch.
Se o usuário autoriza um aplicativo a acessar suas informações, é lógico que o API pode ver as DMs. Isso não é falha de segurança, é característica do sistema. Cabe ao usuário não sair autorizando qualquer aplicativo a acessar seu twitter…
Concordo.
é bem isso que falaram, concordo.
Por essas e outras que antes eu não colocava meu usuário/senha em qualquer blog/site/etc e não autorizo agora.
It’s obvious! É como ligar na americanas.com e dar seus dados de cartão de crédito para o vendedor.
Já não é atôa que os hackers vira e mexe estão invadindo o sistema de insegurança do Twitter.
Pois eu ja tinha pensado que esse tipo de serviço poderia ser usado de maneira errada. Principalmente quando feito por pessoas despreparadas que se fascinam pela facilidade de acesso que tem a diversos logins. Por isso, após liberar meu login pelo API, eu testo o serviço e se não for satisfatório eu excluo a permissão.
Identifiquei outra falha na segurança do twitter. É o seguinte, se você informar sua senha pra alguém, essa pessoa tem acesso a suas DMs, ela pode enviar twits com o seu usuário e pode até trocar as informações da sua conta (como nome, e-mail, senha…).
Cuidado, o twitter é muito mal programado…
¬¬
pois é… :/
Desenvolvedores maus, muito maus
Mas o que o cara falou é bem óbvio. Todos esses sites web 2.0 tem APIs públicas que permitem acessar dados protegidos dos usuários mediante autenticação. Não é uma falha de segurança do Twitter.
É óbvio que os usuários do Twitter tem que ter cuidado com o aplicativo que eles usam, mas isso não é nenhuma novidade. E não é também uma coisa específica das DMs, um aplicativo malicioso poderia também roubar uma conta e twittar com a conta roubada.
Enfim, o cara quer chamar a atenção, e pelo visto conseguiu.
Gary-Adam Shann, o prêmio Capitão Óbvio de hoje é seu.
No começo imaginei que ele estaria falando de ter acesso às DMs de outros usuários, mas não, o cara viajou na batatinha mesmo. huauhahua
até que não é TÃO idiota. o que ele quis dizer é que, o Twitter dá TOTAL acesso a sua conta. não apenas o nome do usuário. vejamos como exemplo o facebook, cada app adicionada diz o que ela vai ter acesso. ela não pode ter acesso a outras partes a não ser aquela que ela pediu permissão. já no caso do Twitter, qualquer app pode ter acesso a tudo.
Na verdade não, APP’s do Twitter podem fazer 2 tipos de request’s, Apenas leitura ou leitura e gravação, cabe ao usuario saber em que app esta enfiando sua conta, e se vale a pena arriscar ou não.
Essa onda de sites do tipo ‘Descubra com quem você mais troca tweets’, ou ‘Quem é seu fã no twitter’, onde varios usuarios permitem acesso aos APPs e depois esquecem, é ai que tá o problema.
Afinal, o que seria da API do Twitter se ela não trouxesse as informações que são o proposito da API?
Bah, regra #1 pra usar o twitter: postou no twitter é pq é pra ser público. Esse povo de: “mimimimi num quero q leiam minha vida.” Não quer que leia não poste, ora bolas!
E pra todas as outras redes sociais tb né?
Ngm vai ver sua foto constrangedora se você não colocar ela lá… e também se você não se expor em alguma cena dessas =p
Mas acho que vale o alerta de qualquer forma. É bastante óbvio pra quem está habituado, mas e pra quem não está? Muitas pessoas passam dados importantes por DM achando que é seguro, sem menor ideia de como funciona uma rede…
Só o que aconteceu foi o famoso espetáculo que se forma, como se fosse algum bug que surgiu hoje e que todo mundo tivesse lendo as DMs de todo mundo…
É isso aí. Tá em rede social, é pra se queimar.
Pra quem acha isso perigoso e mortal, no próprio twitter tem uma solução.
basta você clicar no link Settings -> Deactivate my account.
Simples.
socorro to logado aqui via twitter kkkkkkkkkkk
Essas noticias sobre o twetter da impressao que todo o sistema é um colcha de retalhos, mal retalhada ainda por cima, pois ultimamente todo mes alguem descobre ou faz um buraco na colcha.
Mas é, quando o twitter foi criado, em seu desenvolvimento não foi pensado que teria twitters protegidos e, tampouco, o tamanho que o twitter iria chegar. Aí deve que reforçar uma costura aqui e acolá, inserir uns gomos e rezar pra continuar combinando.
O twitter é tão público e impessoal que não acho que umas DM’s voando por ai sejam uma coisa tão escalafobética.
Agora todo mundo vai fazer tempestade em copo d’agua, mais é a funcionalidade do site, é dever o usuário cuidar de suas mensagens…
Ainda bem que o que eu falo de DM é sempre coisas que não são secretas
Muitas falhas ainda viram, normal apra um serviço que tomou tanta notoriedade
captain obvious strikes back.