Arquivo Internet

Falha de segurança crítica no Twitter permanece no ar mesmo depois de (supostamente) consertada

Rafael Silva
Por

As melhores ofertas,
sem rabo preso

O especialista britânico em SEO David Naylor, enviou ontem uma dica ao blog Mashable detalhando uma possível falha de segurança no Twitter. Ben Parr, um dos editores do site, pediu uma prova e logo recebeu. Ao acessar o perfil @apifail criado por David, ele recebeu uma janela de aviso com a mensagem “Você deveria agradecer por eu não ter roubado seu cookie de login”.

Segundo o especialista em seu blog, a falha de segurança está no campo da API que permite que programadores insiram a URL do aplicativo ou site. Esse é o campo que identifica de onde o update dos usuários do serviço foi feito, como por exemplo “from Twhril” ou “from Twittie”. David diz que o Twitter não verifica o que é inserido no campo e por isso ele poderia apontar para um script malicioso qualquer que, por exemplo, roubasse as informações da conta do usuário.

Depois da divulgação da falha, John Adams, da equipe de operações do Twitter, publicou um comentário no blog de David avisando que já havia corrigido o problema. Hoje, no entanto, David criou outro perfil no serviço de microblogging para testar mais uma vez a mesma falha e percebeu que o exploit continua no ar. A imagem abaixo mostra o que acontece ao acessar o perfil @apifail2 e o código-fonte do script usado.

O script é inofensivo. (Clique para ampliar)

O script é inofensivo. (Clique para ampliar)

Ainda não há previsão de quando a falha será corrigida de vez. [TechCrunch]

Rafael Silva

Rafael Silva tem 27 anos, estudou Tecnologia de Redes de Computadores e mora em São Paulo. Tem uma queda pela Apple na área de dispositivos móveis, mas sempre usou Windows em todos os seus notebooks e desktops. Vez ou outra fala alguma coisa interessante no Twitter: @rafacst. [Envie um email]

Mais Populares

Responde

Relacionados

Em destaque