Esta quarta-feira de manhã o Twitter acordou em alvoroço. Vários perfis de relevo começaram a espalhar uma mensagem que além de ter a cruz suástica, usava também hashtags com a palavra nazi. Se da parte da manhã pouco ou nada se sabia, agora já existem mais informações sobre o que aconteceu.
Amnistia Internacional, Reuters Japão, Forbes, Duke University, Starbucks Argentina, Blockchain e BBC America – todos perfis verificados na rede social – foram algumas das contas afetadas. A causa do problema esteve na aplicação Twitter Counter, um serviço não oficial do Twitter que permite analisar melhor as estatísticas dos perfis na plataforma.
A empresa responsável pelo Twitter Counter já admitiu que uma falha na plataforma permitiu que as mensagens fossem publicadas, mesmo sem o conhecimento dos seus proprietários. A possibilidade de publicação por parte do Twitter Counter já foi bloqueada pela empresa e também pelo próprio Twitter, para impedir que mais mensagens semelhantes se espalhassem.
We’re aware that our service was hacked and have started an investigation into the matter.We’ve already taken measures to contain such abuse
— TheCounter (@thecounter) 15 de março de 2017
“Rapidamente localizamos a fonte que estava limitada a uma aplicação externa. Removemos a sua permissão de forma imediata. Não houve outras contas impactadas”. Esta foi a mensagem oficial da rede social sobre o problema.
Já a Twitter Counter está neste momento a corrigir o problema que afetou a sua plataforma. A empresa adiantou no entanto que não guarda nomes de utilizadores, nem passwords, pelo que não houve fuga de informações sensíveis e privadas.
Continua sem ser conhecida a falha em específico que permitiu invadir os perfis, quem executou o ataque e quantos utilizadores foram afetados. A mensagem espalhada pelo Twitter mostrava apoio ao atual presidente da Turquia, Recep Tayyip Erdoğan, e também fazia referência aos Países Baixos – aquela que é uma alusão à tensão que tem existido entre as duas nações.
De acordo com a Wired, o serviço Twitter Counter tem dois milhões de utilizadores e portanto este foi o número potencial de contas afetadas. Mas como se verificou pelas mensagens divulgadas, apenas um pequeno número de perfis – mas com grande alcance – terá sido afetado.
O poder das aplicações externas
O Twitter tem desde 2014 um programa de caça ao bug que tem permitido manter a plataforma livre de problemas sérios de segurança. Quando este programa de bug bounty celebrou dois anos, a tecnológica confirmou que a mais grave das falhas, injeção de código malicioso na plataforma, nunca tinha sido reportada.
O investimento neste programa de cibersegurança tem permitido à rede social manter-se longe da atenção mediática em casos de ataques informáticos – o mesmo já não pode ser dito da Yahoo, por exemplo. Então como se explica o que aconteceu hoje?
O Twitter tem 319 milhões de utilizadores ativos
O ataque de hoje, 15 de março, foi feito através de um serviço externo. São vários os motivos que levam os utilizadores e as empresas a procurarem aplicações alternativas às aplicações oficiais dos serviços. No caso do Twitter Counter, a aplicação trabalha de forma mais aprofundada a questão dos resultados analíticos de cada perfil na rede social.
Para poderem utilizar aplicações externas que são compatíveis com o Twitter, os utilizadores têm sempre de dar em primeiro lugar uma permissão a essa mesma aplicação externa. É uma camada extra de segurança na ‘fusão’ de dois serviços e que ajuda a garantir que a pessoa está consciente do acesso que está a dar.
Acontece que quando esta permissão é dada, por norma os serviços externos ganham acesso aos perfis dos utilizadores e em alguns casos ganham inclusive permissões que lhe permitem publicar em nome da pessoa. É o que acontece com o Twitter Counter. Foi o que aconteceu hoje com o Twitter Counter.
Pelos problemas que foram detetados, esta é uma boa altura para rever as permissões de aplicações nas contas do Twitter que gere. Diz-nos a tradição que um caso que provocou muito impacto pode ser seguido de copycats, isto é, pessoas que vão tentar reproduzir efeitos semelhantes usando métodos semelhantes. Leia-se: a procura por vulnerabilidades em aplicações que funcionam integradas com o Twitter provavelmente vai aumentar nos próximos dias.
Para rever os acessos de aplicações externas que já concedeu à sua conta de Twitter precisa de abrir o separador Configurações e Privacidade. Escolha depois a opção Aplicativos e carregue no botão Revogar Acesso para as aplicações que já não usa ou nas quais já não confia totalmente.
Se esta é uma boa altura para rever as permissões de acesso do Twitter, todas as alturas são boas para rever as permissões que já deu a serviços e aplicações externas também noutras redes sociais – Facebook, Instagram e Tumblr, por exemplo. Com o avançar dos anos alguns serviços perdem utilizadores e deixam de ser atualizados, o que pode ser uma porta entreaberta para que piratas informáticos ganhem algum tipo de acesso às suas presenças em plataformas sociais.
