DMs do Twitter poderiam ser facilmente roubadas, diz especialista em segurança

Thássius Veloso
Por
• Atualizado há 6 meses

Eu sabia… Ainda teria que dar essa notícia algum dia. Como o Twitter é um site que até hoje está cheio de brechas de segurança, chegou o momento que todos temíamos: uma falha pode dar controle das DMs enviadas e recebidas para usuários mal intencionados. Sabe aquelas informações sigilosas que ninguém deveria conhecer? Cuidado, elas podem se tornar públicas.

O alerta foi dado por Gary-Adam Shann, especialista em segurança que analisou a forma como aplicativos podem interagir com o serviço de microblog do passarinho azul. De acordo com Shann, seria muito fácil obter acesso às DMs de uma pessoa. Para tanto, bastaria criar um aplicativo que necessite de autenticação dentro do Twitter. A partir daí, um usuário maldoso teria como acessar as benditas DMs e torná-la públicas – ou fazer o que quisesse com elas, para dizer a verdade.

Mais vale uma Fail Whale na mão que várias DMs voando por aí

Diferentemente das últimas falhas que acometeram o Twitter e o Orkut, esse tipo de exploração não envolveria técnicas XSS, nas quais um código armazenado em um servidor de terceiros é executado pelo navegador a partir de um tweet ou scrap. Em vez disso, seria necessário ter acesso ao API – que é público – do Twitter, a forma com a qual aplicativos podem puxar informações de dentro da conta do usuário.

Basicamente Shann descreve o que aplicativos como TweetDeck e Echofon já fazem: oferecem uma interface mais bonita, mas explorando as funcionalidades do Twitter. Com esses apps é possível receber e enviar DMs, o que prova que desenvolvedores poderiam ter acesso a esse tipo de informação.

No exemplo do especialista em segurança temos um plugin para WordPress que, depois de modificado, faria com que qualquer interação com o site feita a partir de autenticação com o website resultasse na obtenção das DMs do usuário. Essas mensagens diretas poderiam ser tranquilamente enviadas para o e-mail do dono do site, de forma bastante simples.

O Twitter ainda não se manifestou sobre o ponto levantado pelo especialista.

Com informações: MSNBC/Technolog, Search Engine Watch.

Receba mais sobre Twitter na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Thássius Veloso

Thássius Veloso

Editor

Thássius Veloso é jornalista especializado em tecnologia e editor do Tecnoblog. Desde 2008, participa das principais feiras de eletrônicos, TI e inovação. Também atua como comentarista da GloboNews, palestrante, mediador e apresentador de eventos. Tem passagem pela CBN e pelo TechTudo. Já apareceu no Jornal Nacional, da TV Globo, e publicou artigos na Galileu e no jornal O Globo. Ganhou o Prêmio Especialistas em duas ocasiões e foi indicado diversas vezes ao Prêmio Comunique-se.

Relacionados

Como excluir ou desativar a sua conta do Twitter
Como excluir ou desativar a sua conta do Twitter
Como enviar uma DM por voz no Twitter
Como enviar uma DM por voz no Twitter
Como ver tweets de quem bloqueou sua conta no Twitter
Como ver tweets de quem bloqueou sua conta no Twitter
Twitter para Android ganha busca nas DMs dois anos depois do iOS
Twitter para Android ganha busca nas DMs dois anos depois do iOS
Como o Twitter ganha dinheiro? Veja as principais fontes de receita da rede social
Como o Twitter ganha dinheiro? Veja as principais fontes de receita da rede social
Medida corretiva, conta retida e mais punições do Twitter
Medida corretiva, conta retida e mais punições do Twitter
Como usar o Chirpty e descobrir a sua “bolha do Twitter”
Como usar o Chirpty e descobrir a sua “bolha do Twitter”
Como funciona o Twitter Spaces
Como funciona o Twitter Spaces
Como ter uma conta verificada no Twitter
Como ter uma conta verificada no Twitter
Nova interface do Twitter permite enviar e receber DMs sem sair da timeline
Nova interface do Twitter permite enviar e receber DMs sem sair da timeline