Falha de segurança crítica no Twitter permanece no ar mesmo depois de (supostamente) consertada

Rafael Silva
• Atualizado há 9 meses

O especialista britânico em SEO David Naylor, enviou ontem uma dica ao blog Mashable detalhando uma possível falha de segurança no Twitter. Ben Parr, um dos editores do site, pediu uma prova e logo recebeu. Ao acessar o perfil @apifail criado por David, ele recebeu uma janela de aviso com a mensagem “Você deveria agradecer por eu não ter roubado seu cookie de login”.

Segundo o especialista em seu blog, a falha de segurança está no campo da API que permite que programadores insiram a URL do aplicativo ou site. Esse é o campo que identifica de onde o update dos usuários do serviço foi feito, como por exemplo “from Twhril” ou “from Twittie”. David diz que o Twitter não verifica o que é inserido no campo e por isso ele poderia apontar para um script malicioso qualquer que, por exemplo, roubasse as informações da conta do usuário.

Depois da divulgação da falha, John Adams, da equipe de operações do Twitter, publicou um comentário no blog de David avisando que já havia corrigido o problema. Hoje, no entanto, David criou outro perfil no serviço de microblogging para testar mais uma vez a mesma falha e percebeu que o exploit continua no ar. A imagem abaixo mostra o que acontece ao acessar o perfil @apifail2 e o código-fonte do script usado.

O script é inofensivo. (Clique para ampliar)
O script é inofensivo. (Clique para ampliar)

Ainda não há previsão de quando a falha será corrigida de vez. [TechCrunch]

Responde

Confira a lista com os atalhos de navegação, interação ou de mídias do X (Twitter) para tornar a navegação mais rápida na rede social
Todos os atalhos de teclado do X (Twitter)
Saiba como trancar a sua conta no X (Twitter) e deixe seus posts disponíveis somente para seguidores na rede social
Como privar sua conta no X (Twitter) para proteger o conteúdo das publicações
Saiba como mudar o seu nome no X (Twitter), tanto o nome de usuário (a arroba) quanto o nome de exibição
Como mudar o nome no X (Twitter)?
Veja como excluir o X (Twitter) definitivamente ou dar um tempo na rede social desativando por até 30 dias o seu microblog
Como excluir ou desativar a sua conta do X (Twitter)

Relacionados

O código de segurança de um chat no WhatsApp pode mudar quando o contato reinstalar o WhatsApp, trocar de celular ou alterar o dispositivo conectado
O que significa “Seu código de segurança mudou” no WhatsApp?
Veja como remover seguidores no X (Twitter) para evitar interações com alguns usuários e também escapar de conteúdos indesejáveis no seu feed
Como remover seguidores no X (Twitter) sem bloquear
O Twitter Spaces é a resposta do Twitter ao Clubhouse. Entenda como funciona o novo recurso de áudio criado para a rede social
Como funciona o Twitter Spaces
Ter uma conta no X (Twitter) com o selo de verificação faz com que as publicações e respostas tenham maior alcance e prioridade de exibição
Como ter uma conta verificada no X (Twitter) pelo celular ou PC

Escrito por

Rafael Silva

Rafael Silva

Ex-autor

Rafael Silva estudou Tecnologia de Redes de Computadores e mora em São Paulo. Como redator, produziu textos sobre smartphones, games, notícias e tecnologia, além de participar dos primeiros podcasts do Tecnoblog. Foi redator no B9 e atualmente é analista de redes sociais no Greenpeace, onde desenvolve estratégias de engajamento, produz roteiros e apresenta o podcast “As Árvores Somos Nozes”.