Terça-feira, dia 21/09 o Twitter amanheceu do avesso. tweets coloridos, retweets não autorizados entre outras anomálias assustavam os usuários pelo mundo. Eu estava conectado e fui testemunha e vitima dos fatos. Ainda não tinha sido "infectado", pois estava usando o tweetdeck, porêm, vendo a necessidade de informar maneiras de "driblar" o problema, eu entrei via web para encontrar maneiras de evita-lo, e acabei pegando tambem. Rapidamente fiz uma postagem informando as maneiras mais imediatas de evitar o problema e, agora venho fazer uma abordagem mais profunda sobre o que realmente aconteceu.
Na manha de 21 de setembro de 2009, às 02h54 PDT, o Twitter foi notificado de uma exploração de segurança que surgira cerca de meia hora antes, e imediatamente começou a trabalhar para corrigir isso. às 07h00 PDT, o principal problema foi resolvido. E, por 09:15 PDT, uma questão menor, mas mais ligada à hovercards relacionados também foi corrigido.
As falhas de segurança dos problemas decorrentes dessa manhã, foram causados por cross-site scripting (XSS). Cross site scripting é a prática de colocar o código de um site não confiável em um outro. Neste caso, os usuários submetiam um código javascript como texto simples em um Tweet que poderia ser executado no navegador de outro usuário. Um usuário percebeu esta falha de segurança, criou uma conta e explorou a falha gerando tweets de cores diferentes, que fazia com que uma caixa pop-up surgisse com o texto caso alguem pairasse o cursor do mouse sobre o tweet com o código. Por isso o incidente ficou conhecido como onMouseOver. Outros ainda foram um passo adiante, usando um código que dava Retweet sem o conhecimento do usuário.
Segundo o Twitter, essas falhas não impactaram sobre o site da web ou sobre as aplicações moveis. A grande maioria dos "exploits" relacionados com este incidente ficaram nas categorias de brincadeira ou spam. Os usuários podem ainda ver retweets estranhos em suas contas causados pelo incidente. No entanto, não existem noticias de quaisquer problemas relacionados que podem causar danos a computadores ou as suas contas. E, não há necessidade de alterar as senhas, pois as informações da conta do usuário não foram comprometidas por essa exploração.
O Pedrokas foi ligeiro em alertar a comunidade sobre a falha e apresentar soluções simples e imediatas para evitar o problema, e agora vem trazendo nessa postagem um esclarecimento técnico sobre o que aconteceu. As informações apresentadas foras retiradas e traduzidas do blog oficial do Twitter. Eu espero ter deixado todos leitores satisfeitos com as informações que trouxe aqui, e que tenha ajudado em tranquilizar os mais preocupados sobre alguma possivel consequencia pois eu mesmo fiquei um pouco preocupado quanto a segurança da minha conta Twitter e alterei minha senha, o que agora eu sei que não era necessário.
Nenhum comentário:
Postar um comentário