Falha no Twitter permite ler e enviar mensagens diretas sem permissão do usuário

Por Redação | 22.12.2014 às 15:08

Após os casos de espionagem denunciados pelo americano Edward Snowden, diversas empresas reforçaram a segurança de seus sites e serviços online. Mesmo assim, falhas continuam surgindo, e uma delas atinge o Twitter. De acordo com o consultor de marketing Rishi Lakhani, a rede de microblogs possui um bug que permite que terceiros leiam suas mensagens diretas (DMs, na sigla em inglês).

A brecha pode ser acessada mesmo sem ter a senha para o perfil atacado, e é ativada por meio de sites e aplicativos para tablets e smartphones. Segundo Lakhani, a falha foi descoberta quando o especialista tentou usar sua conta no Twitter para se inscrever no "Inbound", um fórum para profissionais de marketing digital. Ao preencher os campos de inscrição com seu login de usuário, o pesquisador percebeu que o site era capaz de ler suas DMs e até mesmo enviar novas mensagens para seus amigos na rede social.

Aparentemente, o Inbound não tinha conhecimento da brecha, uma vez que, para a companhia, as pessoas podem se cadastrar de uma maneira muito mais simples ao deixar apenas seu nome de usuário do Twitter. Foi aí que Lakhani percebeu que a interface de programação de aplicações (API) do micro-blog permite que desenvolvedores escolham três opções para trabalhar em cima do software do Twiter, sendo elas "Apenas Ler", "Apenas Escrever" e "Ler DMs escritas".

Essas opções são usadas pelos desenvolvedores para a inclusão de caixas de login em seus sites, mas os profissionais geralmente optam pela primeira ou segunda função na hora de facilitar o acesso às páginas que o internauta mais acessa. No entanto, como aponta Lakhani, nada impede que usuários mal intencionados selecionem a terceira opção, o que significa que qualquer pessoa que efetuar login em alguma página na web, seja ela no PC ou dispositivo móvel, teria seus dados pessoais expostos, assim como suas mensagens diretas na rede social.

O erro foi demonstrado pelo especialista em uma conta do Twitter criada pelo Business Insider. Em poucos segundos foi possível enviar e receber DMs e até alterar a descrição do perfil da conta. Segundo Lakhani, sites que podem oferecer esses riscos ao usuário exibem uma imagem específica, como você pode ver abaixo. As setas indicam que aquela página pode ter controle total sobre sua conta no Twitter, incluindo seguir novas pessoas, atualizar seu perfil, postar novos tuítes e acessar sua caixa de mensagens privadas.

Twitter

Lakhani ainda alerta que "um spammer inteligente poderia usar essa brecha a seu favor, já que permite algum controle real sobre as ações de uma conta".

Procurado pelo Business Insider, o Twitter ainda não se manifestou sobre o assunto. Além disso, não está claro quantos usuários são afetados pela falha. Atualmente, a rede social tem 284 milhões de contas cadastradas, entre internautas comuns, entidades, empresas e órgãos governamentais.