Notícias

Twitter – Bug obrigou utilizadores a seguir outros

16 Comentários

Apesar da complexidade inerente a alguns dos serviços da internet que usamos, às vezes não são totalmente vulneráveis e à prova de utilizações simples e acidentais. Aliás, os bugs absolutamente triviais e ridículos, podem comprometer e subverter gravemente as regras de um serviço. Foi na confirmação destes casos, que um utilizador turco quando tentava promover uma das suas bandas musicais favoritas, descobriu uma vulnerabilidade que fez com que o Twitter quase parasse.

null

Bora Kirka, um turco descobriu que ao lançar um tweet no formato “accept nome_utilizador”, conseguia forçar um utilizador deste serviço, a segui-lo sem o seu expresso conhecimento ou consentimento. A partir deste momento o Twitter começou a ter um comportamento imprevisível e os contadores de quantas pessoas um indivíduo seguia, começaram a aparecer a zero, revelando que este comando tinha um impacto nefasto na infraestrutura de mensagens que serve como base ao Twitter.

Kirka não se ficando pela descoberta do bug, fez o que alguém no seu lugar se sentiria tentado a fazer. Juntamente com a sua namorada, começaram a forçar que algumas das maiores celebridades os seguissem. Ou seja, depois do turco publicar informação sobre a falha no seu blog, em poucas horas milhares de utilizadores conseguiram controlar a seu favor uma das funcionalidades principais do Twitter e causar um desequilibro no sistema de seguidores, com proporções ainda não determinadas.

A situação relativa ao contador dos seguidores e falha do comando “accept”, já se encontra corrigida pela equipa do serviço. Claro que depois destes factos, o Twitter cancelou a conta do turco, mas os estragos já estavam feitos. Em sua defesa o “hacker por acidente”, referiu que apenas queria promover a sua banda favorita “Os Accept” e de modo a prestar tributo perante os seus seguidores, lançou um tweet “accept pwnz”. Foi para ele uma surpresa quando reparou que além do seu tweet não ter sido difundido tinha o utilizador “pwnz” a segui-lo.

É um episódio caricato, mas o mais grave nesta situação é que qualquer utilizador com nenhuns conhecimentos, devido à simplicidade da falha podia facilmente tirar partido deste “hack”. O que de facto nos ensina este episódio, é que alguns serviços da internet que têm um elevado cuidado em se protegerem com os mais elaborados mecanismos de segurança, sucumbem às falhas mais triviais. Gizmodo

PUB
Autor: Pplware
Partilhar:
Tags:
rui_oliveira

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Artigo anterior

Power Sound Editor 7.2.1 – Poderoso Editor de Som
Vem aí o WiGig – Redes sem fios a 7 Gbps
Próximo artigo

Vem aí o WiGig – Redes sem fios a 7 Gbps
PUB

Comentários

16

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Ricardo
    Ricardo

    Impressionante! O problema dele como toda a gente nestas situações, foi o facto de descobrir algo que mais ninguém sabia e tentou tirar o máximo de partido até ser apanhado.

    Mas pronto, ainda bem que o bug foi corrigido, agora que foi muito grave lá isso foi.

    Imaginem que ele apanhava a lista de todos os utilizadores do twitter, ficavam milhoes de utilizadores a segui-lo. woow lol

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      A questão aqui e para mim a parte interessante da notícia, é a simplicidade da forma como o bug (sem querer) foi descoberto.

      Vamos imaginar que isto acontece, por exemplo, no NetBanco. As consequências seria de outra dimensão e provavelmente seriam de um alarido tremendo… tudo porque alguém, num golpe do acaso, descobriu esta vulnerabilidade.

      Mas e voltando ao Netbanco, não é que há dias soube de um caso parecido?

      Aconteceu com uma conhecida e penso que a situação foi desta forma.

      Estava ela a tentar entrar na sua conta netbanking de uma instituição bancária e enganou-se, salvo erro, num algarismo da sua conta (por exemplo a conta seria 221441813 e ela inseriu o 221141813) e colocou a password que era (por incrível que pareça) igual à do legitimo detentor daquela conta. Então só deu por ela quando estranhou o nome e o conteúdo do dito cliente.

      Se as passwords são atribuídas pela própria pessoa… é muito “galo” terem ambos a mesma password… mas estas coisas acontecem!

      Reportou a situação pormenorizadamente ao banco para que verificassem e agissem em conformidade.

      Se são atribuídas automaticamente é um erro grave, pois as coincidências… acontecem.

      Responder
      1. Avatar de Ricardo
        Ricardo

        Sim, quando falas que o que é interessante aqui é a forma como o bug foi descoberto concordo plenamente!
        Não se isso acontece com toda a gente, mas com a maior parte deve acontecer. Quando se descobre um bug num jogo, dou o exemplo do GTA, eu normalmente exploro esse bug ao máximo e divirto-me. Foi o que fez este turco, o problema é que isto são bugs numa escala brutal.

        Por acaso a mim nunca me aconteceu nada do genéro em sites, ou se aconteceu nem dei por ela, porque as vezes aparecem-nos erros a frente e nos já estamos tão habituados que carregamos ” Ok ” e nem lemos.

        Quanto a essa história do banco, inacreditável… Talvez seja por isso que o BPI e a CGD dizem logo para mudar as passwords mal se tem o papel nas mãos. Não sei se isso se isso se aplica nos outros bancos visto que apenas tenho experiência com estes 2, mas deviam todos fazer o mesmo.

        Pelos vistos o método de password aleatória por vezes não é assim tão aleatório… 😐

        Responder
        1. Avatar de Vítor M.
          Vítor M.

          Foi o que pensei, há algum esquema aí no meio que nesse tipo de bancos não funcionará correctamente.

          Eu trabalho com dois, um é excepcionalmente cauteloso. Mesmo que alguém consiga as minhas credenciais, não conseguirá fazer nada, a não ser que consiga “roubar” um segundo esquema de segurança… que não é muito provável e mesmo assim depende do que pretender fazer, pois tenho vários avisos de segurança, para diferentes montantes.

          A outra instituição… é mais simples de fazer algum incomodo… mas…

          Nunca fiar… há povo que vive para aprender a ludibriar esses esquemas de segurança… nada é impossível.

          Responder
        2. Avatar de mjmft
          mjmft

          O nº de combinações possíveis com 4 algarismos, que é o tipo se password usada nos cartões electrónicos, é inferior ao nº de cartões existentes. Daí ser impossível não haver passwords repetidas.

          free online advertising

          Responder
      2. Avatar de bigkax
        bigkax

        Lembro-me que isso aconteceu a um dos redactores da exame informática, foi esse o caso ou existe outro? Se existe outro já começa a ser mau habito.

        Responder
        1. Avatar de Vítor M.
          Vítor M.

          Esse não conhecia, este caso que relato aconteceu a uma conhecida.

          Mas penso que a Ana Narciso tem também uma história desse género onde deixou a história no nosso fórum:

          http://forum.pplware.com

          Responder
      3. Avatar de mjmft
        mjmft

        Como ex-bancário deixem dizer que passwords coincidentes é o que por aí mais há. Por mais que se explique aos clientes, as datas de nascimento, o ano do casamento, etc,etc,etc são as passwords mais fáceis de decorar e as mais recorrentes.
        No caso vertente mesmo que o banco as atribua automaticamente ninguém pode garantir que um dos clientes tenha posteriormente alterado a password. Notem que eu nem estou a defender o Banco. No homebanking é um caso muito, mas mesmo muito improvável, porque normalmente são 6 pelo menos os dígitos da password. Não sou matemático mas é quase como ser totalista no Euromilhões. Aqui vale o facto da honestidade da sua conhecida. Se ela usasse a referida conta, estou para ver como a bota iria ser descalçada.

        free web advertising

        advertise for free

        Responder
    2. Avatar de bigkax
      bigkax

      Se ele fosse discreto e começasse a arrecadar seguidores e depois vendesse publicidade…

      Responder
  2. Avatar de bug
    bug

    Se accept(um trigger da base de dados do twitter existe), reject tambem deve existir lol.

    Responder
  3. Avatar de a Friend®
    a Friend®

    Isto para mim não é um bug, é mesmo uma grande falha por parte dos programadores do Twitter. Porem acções de comando básicas para cumprir certas funções.

    A percepção que tenho é que quando aceitamos alguem no Twitter, esta notificação é enviada aos servidores através de uma especie de Twitt…

    Responder
  4. Avatar de JohnTH
    JohnTH

    Será que “accept *” também servia? xD

    Responder
    1. Avatar de a Friend®
      a Friend®

      Isso é o quê? Uma tentativa de ser seguido por toda a gente do Twitter?!?! 😀

      Responder
      1. Avatar de JohnTH
        JohnTH

        Exacto, e se o gajo fosse esperto, tentava isso xD

        Responder
        1. Avatar de Samuel Gomes
          Samuel Gomes

          Accept Vitor M.

          :D:D

          Responder
  5. Avatar de Rafael
    Rafael

    Será que a banda ficou famosa??? 😀

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.