navegantes.blog

Hoje (21/09/2010) usuários do Twitter foram vítimas de uma falha que permitia que fossem publicadas informações sem consentimento, primeiramente, ao passar o mouse sobre uma mensagem, e depois apenas acessando a página principal do serviço.

A "invasão" se deu por um código que automaticamente adicionava um RT (algo similar ao "repassar uma mensagem" para você que não conhece a ferramenta) e adicionava o código malicioso para todos os contatos do usuário.

A falha atingiu em cheio a interface web do sistema de microblogs (inclusive a nova interface) mas deixou livres sistemas de terceiros que interagem com o sistema.

Dois pontos interessante sobre o ocorrido:

1) O "hacker" conseguiu escrever um código que se espalhou rapidamente na ferramenta usando apenas 140 caracteres. Isto foi quase digno de Chuck Norris.

2) Independente de plataforma a falha atingiu todos os navegadores e todos sistemas operacionais. Mesmo usando Ubuntu e Chrome acabei espalhando o código (que não teve maiores danos).

Com cada vez mais poderosas aplicações web, a chance de contágio e a importância destes fatos para os usuários antes seguros (Linux e Mac) aumenta. A segurança que se tem devido a uma estrutura melhor e uma menor quantidade de usuários se dispersa quando o alvo são falhas de programação em sites. Fui tão vítima quando um usuário usando o desatualizado Windows 98 com Internet Explorer 5.

Aprendi a lição.