Falha no Twitpic permitia postagens em seu Twitter

A Rosana e o Danilo descobriram uma falha bem interessante, que poderia causar sérios problemas para os usuários do Twitpic. Ao se cadastrar no site, você recebe um e-mail, que permite enviar fotos diretamente do celular ou do próprio desktop (para quem não quer ter o “trabalho” de entrar no Twitpic e enviar suas fotos…). Esse e-mail é gerado da seguinte forma: [email protected].

Twitpic PIN CODE

Alterem os seus Pin Code

O Danilo conseguiu gerar um programa que identificava o número do usuário. Na verdade, ele não identificava. Era força bruta mesmo. Existem dez mil possibilidades para o código, então, ele enviava dez mil e-mails e um deles seria o código do usuário, que teria algo publicado em sua conta. Isso não comprometeria a segurança da senha do Twitter mas poderia causar sérios problemas, como enviar um tuíte comprometedor pela conta de um usuário “indefeso”.

A culpa não é do Twitter, mas do Twitpic, que em 2009 já causou um problema parecido para a cantora Britney Spears, quando usuários postaram que a cantora havia morrido. De acordo com as informações da Rosana, o Twitpic já havia corrigido o problema no caso da Britney mas, por algum descuido, a proteção contra envio de vários e-mails havia sido desabilitada. Agora, ao enviar oito e-mails, seu e-mail será automaticamente bloqueado (o problema é se um dos dez mil números estiverem entre as oito alternativas permitidas).

A solução sugerida pela Rosana é certeira: caracteres alfanuméricos. O Twitpic só permite números, uma saída melhor seria permitir caracteres case-sensitive, ou seja, AAAA seria diferente de aaaa. As possibilidades, nesse caso, seriam bem maiores que dez mil…

Fonte: Querido Leitor.

Relacionados: , , ,

Autor: Yeltsin Lima

Estudante de Publicidade e Propaganda, Web Developer, gosta de escrever sobre tecnologia e raramente (agora) sobre ciência. Não sabe escrever biografias, muito menos a própria.

Compartilhar