Esta é uma boa altura para rever as permissões de acesso do seu Twitter

Esta quarta-feira de manhã o Twitter acordou em alvoroço. Vários perfis de relevo começaram a espalhar uma mensagem que além de ter a cruz suástica, usava também hashtags com a palavra nazi. Se da parte da manhã pouco ou nada se sabia, agora já existem mais informações sobre o que aconteceu.

Amnistia Internacional, Reuters Japão, Forbes, Duke University, Starbucks Argentina, Blockchain e BBC America – todos perfis verificados na rede social – foram algumas das contas afetadas. A causa do problema esteve na aplicação Twitter Counter, um serviço não oficial do Twitter que permite analisar melhor as estatísticas dos perfis na plataforma.




A empresa responsável pelo Twitter Counter já admitiu que uma falha na plataforma permitiu que as mensagens fossem publicadas, mesmo sem o conhecimento dos seus proprietários. A possibilidade de publicação por parte do Twitter Counter já foi bloqueada pela empresa e também pelo próprio Twitter, para impedir que mais mensagens semelhantes se espalhassem.

“Rapidamente localizamos a fonte que estava limitada a uma aplicação externa. Removemos a sua permissão de forma imediata. Não houve outras contas impactadas”. Esta foi a mensagem oficial da rede social sobre o problema.

Já a Twitter Counter está neste momento a corrigir o problema que afetou a sua plataforma. A empresa adiantou no entanto que não guarda nomes de utilizadores, nem passwords, pelo que não houve fuga de informações sensíveis e privadas.

À hora de publicação do artigo, esta era a mensagem disponibilizada na página oficial da Twitter Counter.

Continua sem ser conhecida a falha em específico que permitiu invadir os perfis, quem executou o ataque e quantos utilizadores foram afetados. A mensagem espalhada pelo Twitter mostrava apoio ao atual presidente da Turquia, Recep Tayyip Erdoğan, e também fazia referência aos Países Baixos – aquela que é uma alusão à tensão que tem existido entre as duas nações.

De acordo com a Wired, o serviço Twitter Counter tem dois milhões de utilizadores e portanto este foi o número potencial de contas afetadas. Mas como se verificou pelas mensagens divulgadas, apenas um pequeno número de perfis – mas com grande alcance – terá sido afetado.

O poder das aplicações externas

O Twitter tem desde 2014 um programa de caça ao bug que tem permitido manter a plataforma livre de problemas sérios de segurança. Quando este programa de bug bounty celebrou dois anos, a tecnológica confirmou que a mais grave das falhas, injeção de código malicioso na plataforma, nunca tinha sido reportada.

O investimento neste programa de cibersegurança tem permitido à rede social manter-se longe da atenção mediática em casos de ataques informáticos – o mesmo já não pode ser dito da Yahoo, por exemplo. Então como se explica o que aconteceu hoje?

O Twitter tem 319 milhões de utilizadores ativos

O ataque de hoje, 15 de março, foi feito através de um serviço externo. São vários os motivos que levam os utilizadores e as empresas a procurarem aplicações alternativas às aplicações oficiais dos serviços. No caso do Twitter Counter, a aplicação trabalha de forma mais aprofundada a questão dos resultados analíticos de cada perfil na rede social.

Para poderem utilizar aplicações externas que são compatíveis com o Twitter, os utilizadores têm sempre de dar em primeiro lugar uma permissão a essa mesma aplicação externa. É uma camada extra de segurança na ‘fusão’ de dois serviços e que ajuda a garantir que a pessoa está consciente do acesso que está a dar.

Acontece que quando esta permissão é dada, por norma os serviços externos ganham acesso aos perfis dos utilizadores e em alguns casos ganham inclusive permissões que lhe permitem publicar em nome da pessoa. É o que acontece com o Twitter Counter. Foi o que aconteceu hoje com o Twitter Counter.

Pelos problemas que foram detetados, esta é uma boa altura para rever as permissões de aplicações nas contas do Twitter que gere. Diz-nos a tradição que um caso que provocou muito impacto pode ser seguido de copycats, isto é, pessoas que vão tentar reproduzir efeitos semelhantes usando métodos semelhantes. Leia-se: a procura por vulnerabilidades em aplicações que funcionam integradas com o Twitter provavelmente vai aumentar nos próximos dias.

Para rever os acessos de aplicações externas que já concedeu à sua conta de Twitter precisa de abrir o separador Configurações e Privacidade. Escolha depois a opção Aplicativos e carregue no botão Revogar Acesso para as aplicações que já não usa ou nas quais já não confia totalmente.

Se esta é uma boa altura para rever as permissões de acesso do Twitter, todas as alturas são boas para rever as permissões que já deu a serviços e aplicações externas também noutras redes sociais – Facebook, Instagram e Tumblr, por exemplo. Com o avançar dos anos alguns serviços perdem utilizadores e deixam de ser atualizados, o que pode ser uma porta entreaberta para que piratas informáticos ganhem algum tipo de acesso às suas presenças em plataformas sociais.

Rui da Rocha Ferreira: Fã incondicional do Movimento 37 do AlphaGo.
Artigo sugerido