Falha no Twitpic permitia postagens em seu Twitter

A Rosana e o Danilo descobriram uma falha bem interessante, que poderia causar sérios problemas para os usuários do Twitpic. Ao se cadastrar no site, você recebe um e-mail, que permite enviar fotos diretamente do celular ou do próprio desktop (para quem não quer ter o “trabalho” de entrar no Twitpic e enviar suas fotos…). Esse e-mail é gerado da seguinte forma: [email protected].

Twitpic PIN CODE

Alterem os seus Pin Code

O Danilo conseguiu gerar um programa que identificava o número do usuário. Na verdade, ele não identificava. Era força bruta mesmo. Existem dez mil possibilidades para o código, então, ele enviava dez mil e-mails e um deles seria o código do usuário, que teria algo publicado em sua conta. Isso não comprometeria a segurança da senha do Twitter mas poderia causar sérios problemas, como enviar um tuíte comprometedor pela conta de um usuário “indefeso”.

A culpa não é do Twitter, mas do Twitpic, que em 2009 já causou um problema parecido para a cantora Britney Spears, quando usuários postaram que a cantora havia morrido. De acordo com as informações da Rosana, o Twitpic já havia corrigido o problema no caso da Britney mas, por algum descuido, a proteção contra envio de vários e-mails havia sido desabilitada. Agora, ao enviar oito e-mails, seu e-mail será automaticamente bloqueado (o problema é se um dos dez mil números estiverem entre as oito alternativas permitidas).

A solução sugerida pela Rosana é certeira: caracteres alfanuméricos. O Twitpic só permite números, uma saída melhor seria permitir caracteres case-sensitive, ou seja, AAAA seria diferente de aaaa. As possibilidades, nesse caso, seriam bem maiores que dez mil…

Fonte: Querido Leitor.

Relacionados: , , , ,

Autor: Yeltsin Lima

Estudante de Publicidade e Propaganda, Web Developer, gosta de escrever sobre tecnologia e raramente (agora) sobre ciência. Não sabe escrever biografias, muito menos a própria.

Compartilhar
  • fgrassi

    Alfa-numérico com case sensitive daria uma possibilidade de 14.776.336.
    Bem mais trabalhoso

    🙂

  • Pois ééé… para “corrigir” (ou pelo menos amenizar) isso do jeito que está seria o Twitpic bloquear todo e qualquer postagem por email caso errem a “senha” (o que vem depois do “.”) mais do que 3 vezes seguidas, forçando o usuário dono da conta a entrar no site e trocá-la para uma nova senha, para poder voltar a postar por email.

  • Ah, legal, então se eu quiser sacanear com alguém e bloquear seu twitpic, só preciso tentar força bruta na senha do cara oito vezes.

    • @Renan the Geek, agora o limite é de oito vezes. Antes, não tinha proteção. Ou seja, você poderia tentar, até achar. 😛

  • 1000/8 = 125.
    .
    Ou seja, basta ter 125 contas de e-mail que você irá conseguir descobrir a senha certamente… Se tiver sorte, na primeira, se for normal lá pra 80ª tentativa você consegue ou se for um completo azarado, na última =)

  • PauloDDD

    Tá parecendo aquela App(?) que cadastrava as fotos com 5 caracteres, tipo mimimi.com/aaaaa…
    Recordar é viver, qual era o nome dela mesmo?

  • Se procurarem na minha timeline, eu disse sobre isso a ela quando aconteceu o caso recente de invasão no Twitpic do Agnaldo Silva.

    Incrivelmente, ela esperou passar algumas semanas e postou esse “descoberto genial” como se fosse um achado só dela.

    Receber uma informação e não dar os devidos créditos é coisa de jornalista mau caráter.

  • Só para não ficar nas minhas palavras atuais: Prova de quem deu “A LUZ” para a @rosana fui eu :: http://migre.me/16zMO

Aproveite nossos cupons de desconto:

Cupom de desconto Asus, Cupom de desconto Frio Peças, Cupom de desconto Mundo da Carabina, Cupom de desconto JBL, Cupom de desconto Costa Cruzeiros, Cupom de desconto Loja do Mecânico, Cupom de desconto Staples