Falha no Twitpic permitia postagens em seu Twitter

A Rosana e o Danilo descobriram uma falha bem interessante, que poderia causar sérios problemas para os usuários do Twitpic. Ao se cadastrar no site, você recebe um e-mail, que permite enviar fotos diretamente do celular ou do próprio desktop (para quem não quer ter o “trabalho” de entrar no Twitpic e enviar suas fotos…). Esse e-mail é gerado da seguinte forma: usuario.1234@twitpic.com.

Twitpic PIN CODE

Alterem os seus Pin Code

O Danilo conseguiu gerar um programa que identificava o número do usuário. Na verdade, ele não identificava. Era força bruta mesmo. Existem dez mil possibilidades para o código, então, ele enviava dez mil e-mails e um deles seria o código do usuário, que teria algo publicado em sua conta. Isso não comprometeria a segurança da senha do Twitter mas poderia causar sérios problemas, como enviar um tuíte comprometedor pela conta de um usuário “indefeso”.

A culpa não é do Twitter, mas do Twitpic, que em 2009 já causou um problema parecido para a cantora Britney Spears, quando usuários postaram que a cantora havia morrido. De acordo com as informações da Rosana, o Twitpic já havia corrigido o problema no caso da Britney mas, por algum descuido, a proteção contra envio de vários e-mails havia sido desabilitada. Agora, ao enviar oito e-mails, seu e-mail será automaticamente bloqueado (o problema é se um dos dez mil números estiverem entre as oito alternativas permitidas).

A solução sugerida pela Rosana é certeira: caracteres alfanuméricos. O Twitpic só permite números, uma saída melhor seria permitir caracteres case-sensitive, ou seja, AAAA seria diferente de aaaa. As possibilidades, nesse caso, seriam bem maiores que dez mil…

Fonte: Querido Leitor.

Relacionados: , , , ,

Autor: Yeltsin Lima

Estudante de Publicidade e Propaganda, Web Developer, gosta de escrever sobre tecnologia e raramente (agora) sobre ciência. Não sabe escrever biografias, muito menos a própria.

Compartilhar
  • fgrassi

    Alfa-numérico com case sensitive daria uma possibilidade de 14.776.336.
    Bem mais trabalhoso

    🙂

  • Pois ééé… para “corrigir” (ou pelo menos amenizar) isso do jeito que está seria o Twitpic bloquear todo e qualquer postagem por email caso errem a “senha” (o que vem depois do “.”) mais do que 3 vezes seguidas, forçando o usuário dono da conta a entrar no site e trocá-la para uma nova senha, para poder voltar a postar por email.

  • Ah, legal, então se eu quiser sacanear com alguém e bloquear seu twitpic, só preciso tentar força bruta na senha do cara oito vezes.

    • @Renan the Geek, agora o limite é de oito vezes. Antes, não tinha proteção. Ou seja, você poderia tentar, até achar. 😛

  • 1000/8 = 125.
    .
    Ou seja, basta ter 125 contas de e-mail que você irá conseguir descobrir a senha certamente… Se tiver sorte, na primeira, se for normal lá pra 80ª tentativa você consegue ou se for um completo azarado, na última =)

  • PauloDDD

    Tá parecendo aquela App(?) que cadastrava as fotos com 5 caracteres, tipo mimimi.com/aaaaa…
    Recordar é viver, qual era o nome dela mesmo?

  • Se procurarem na minha timeline, eu disse sobre isso a ela quando aconteceu o caso recente de invasão no Twitpic do Agnaldo Silva.

    Incrivelmente, ela esperou passar algumas semanas e postou esse “descoberto genial” como se fosse um achado só dela.

    Receber uma informação e não dar os devidos créditos é coisa de jornalista mau caráter.

  • Só para não ficar nas minhas palavras atuais: Prova de quem deu “A LUZ” para a @rosana fui eu :: http://migre.me/16zMO