No mínimo curioso: o Bug do Twitter

 

Nós estamos (profissionais de TI, curiosos e demais), desde o fim dos anos 90 até hoje, debatendo sobre a questão de segurança na TI. A Microsoft sempre foi criticada, muitas vezes com razão, mas vejam que até nos dias de hoje, grandes e estúpidas falhas podem acontecer. A bola da vez foi o Twitter.

Terra Tecnologia: A história do bug: como uma banda derrubou o Twitter
11 de maio de 2010 11h47

John Herrman

Por um tempo ontem, um bug no Twitter deixava qualquer um forçar qualquer pessoa a seguir suas contas. Era um truque hilariamente simples, e igualmente bizarro, de deixar a Twittess de queixo caído. Melhor ainda? Este bug foi descoberto por acidente, por um usuário turco do Twitter. Foi isso o que aconteceu.

A dica inicial foi para o Gizmodo americano via outro usuário turco do Twitter, chamado Güntekin. A primeira mensagem dele para a gente parecia, francamente, ridícula:

Um cara turco chamado Bora Kirca descobriu acidentalmente que se você tuitar "accept nomedousuário", por exemplo billgates, então o Bill Gates iria seguir você. É muito estúpido, mas é verdade.

Estúpido mas, sim, verdade. Funcionou. O Gizmodo americano postou isso. O Twitter enlouqueceu, o número de seguidores (e seguidos!) de todo mundo caiu para zero, e a conta do Twitter do Bora foi suspensa. Mas como ele descobriu isso?

Por acidente? Ah, é mesmo? Güntekin explica:

(Bora) gosta de uma banda chamada "Accept" e para mostrar que gosta, ele tuitou "accept pwnz"; mas em vez de ver o tweet, ele viu que o usuário "pwnz" o estava seguindo.

Ele contou para a namorada, e juntos eles começaram a fazer o que qualquer pessoa teria feito: eles fizeram famosos os seguirem. Então eles postaram sobre isso neste site aqui (NSFW), em turco. Dentro de algumas horas, isto estava acontecendo no Twitter:

Se disserem que estou seguindo mais de uma pessoa, eu fui hackeado. Eu sou um tuitador completamente monógamo – eu sigo apenas Sarah Killen.

Tuitadores proeminentes estavam sendo, uhm, "hackeados". Então, através do Güntekin e de pessoas como ele, o bug foi descoberto pelo Ocidente.

o twitter está sendo hackeado por um hacker turco. haha eu tenho 0 seguidores. (tweet de "aplusk", o ator Ashton Kutcher, que foi retwitado mais de cem vezes)

Como é que é?
Certo, então obviamente foi assim que o bug foi encontrado, mas por que ele estava lá, afinal? Era tão claro e simples – digite "accept nomedousuário" e você ganha um novo seguidor – que sua existência era difícil de acreditar. Por que digitar um comando assim faria alguma coisa, quanto mais rasgar um buraco na delicada infraestrutura do Twitter?

Comandos de texto existem no Twitter desde o começo, e muitos ainda funcionam. Digite "STATS" e você receberá o número de seguidores e seguidos que você tem; digite "FOLLOW nomedousuário" e você irá segui-lo; digite "RT nomedousuário" e você retuita a última mensagem do usuário. Tudo isto está documentado.

O que não está documentado é o comando ACCEPT, que fez este truque funcionar. Mesmo assim, ele obviamente existe. O leitor Rhainor explica o que ele faz:

Ele era para ser usado por pessoas que protegem seus tweets. Se você tentar seguir alguém que deixou os tweets privados, em vez de segui-los instantaneamente, ele envia um pedido ao usuário ("nomedousuário" quer seguir você). Para permitir que ele siga você, você aceita o pedido ¿ na minha experiência, clicando um botão, mas para as pessoas que raramente o usam, o comando via texto faz sentido.

A resposta do Twitter
Por enquanto, o Twitter não pode fazer muita coisa além de esperar: esperar os engenheiros deles limparem a bagunça, e descobrirem exatamente o que aconteceu, e como evitar isso. Nós entramos em contato, mas nos falaram que eles estavam "investigando" nossas perguntas, e isso é compreensível. A repsosta oficial deles é escrita como um relatório de bug:

Nós identificamos e resolvemos um bug que permitia a um usuário "forçar" outros usuários a segui-los. Nós estamos trabalhando agora para desfazer todo abuso do bug que ocorreu. Os números de seguidores e seguidos estão agora em zero; nós sabemos disso e isso logo será resolvido.

Parece óbvio que este bug estava aí faz um tempo, e era questão de tempo até que alguém o descobrisse. Também parece óbvio que o Twitter deveria ter notado o bug antes de liberar a função "ACCEPT" no site principal.

Por horas, milhares de pessoas conseguiram obter controle das contas no Twitter de outras pessoas com um truque tão fácil que até mesmo o cara mais noob conseguiria fazer. E eu acho que, por algum tempo antes de se tornar público, o bug fez pessoas como o Bora adicionar seguidores sem querer e sem saber. O Twitter foi exposto. Várias contas poderiam – e foram – de fato hackeadas: alguém agiu em nosso nome, com nossas identidades públicas do Twitter, sem nossas senhas.

No fim, o Twitter vai arrumar isso tudo, e eles vão limpar nossa lista de seguidos (ou nós vamos). Mas a preocupação permanece: e se isso fosse um pouco pior? E se um comando desse acesso a outras contas do Twitter além de forçar um follow? O que aconteceu foi uma inconveniência; o que poderia ter acontecido seria um desastre.

E foi assim que uma banda alemã de heavy metal destruiu o Twitter, mais ou menos.

No site do Gizmodo, pelo atalho http://tinyurl.com/27ka5co, você vê as imagens dos tweets e um clipe da "Accept", a banda que o turco Bora procurava.

fonte: http://tecnologia.terra.com.br/noticias/0,,OI4424809-EI12884,00-A+historia+do+bug+como+uma+banda+derrubou+o+Twitter.html

Tags:

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s


%d blogueiros gostam disto: