Início » Internet » DMs do Twitter poderiam ser facilmente roubadas, diz especialista em segurança

DMs do Twitter poderiam ser facilmente roubadas, diz especialista em segurança

Por
8 anos e meio atrás

Eu sabia… Ainda teria que dar essa notícia algum dia. Como o Twitter é um site que até hoje está cheio de brechas de segurança, chegou o momento que todos temíamos: uma falha pode dar controle das DMs enviadas e recebidas para usuários mal intencionados. Sabe aquelas informações sigilosas que ninguém deveria conhecer? Cuidado, elas podem se tornar públicas.

O alerta foi dado por Gary-Adam Shann, especialista em segurança que analisou a forma como aplicativos podem interagir com o serviço de microblog do passarinho azul. De acordo com Shann, seria muito fácil obter acesso às DMs de uma pessoa. Para tanto, bastaria criar um aplicativo que necessite de autenticação dentro do Twitter. A partir daí, um usuário maldoso teria como acessar as benditas DMs e torná-la públicas – ou fazer o que quisesse com elas, para dizer a verdade.

Mais vale uma Fail Whale na mão que várias DMs voando por aí

Diferentemente das últimas falhas que acometeram o Twitter e o Orkut, esse tipo de exploração não envolveria técnicas XSS, nas quais um código armazenado em um servidor de terceiros é executado pelo navegador a partir de um tweet ou scrap. Em vez disso, seria necessário ter acesso ao API – que é público – do Twitter, a forma com a qual aplicativos podem puxar informações de dentro da conta do usuário.

Basicamente Shann descreve o que aplicativos como TweetDeck e Echofon já fazem: oferecem uma interface mais bonita, mas explorando as funcionalidades do Twitter. Com esses apps é possível receber e enviar DMs, o que prova que desenvolvedores poderiam ter acesso a esse tipo de informação.

No exemplo do especialista em segurança temos um plugin para WordPress que, depois de modificado, faria com que qualquer interação com o site feita a partir de autenticação com o website resultasse na obtenção das DMs do usuário. Essas mensagens diretas poderiam ser tranquilamente enviadas para o e-mail do dono do site, de forma bastante simples.

O Twitter ainda não se manifestou sobre o ponto levantado pelo especialista.

Com informações: MSNBC/Technolog, Search Engine Watch.

Mais sobre: , ,