Proponha uma correção, faça uma sugestão
Twitter – Bug obrigou utilizadores a seguir outros
Apesar da complexidade inerente a alguns dos serviços da internet que usamos, às vezes não são totalmente vulneráveis e à prova de utilizações simples e acidentais. Aliás, os bugs absolutamente triviais e ridículos, podem comprometer e subverter gravemente as regras de um serviço. Foi na confirmação destes casos, que um utilizador turco quando tentava promover uma das suas bandas musicais favoritas, descobriu uma vulnerabilidade que fez com que o Twitter quase parasse.
Bora Kirka, um turco descobriu que ao lançar um tweet no formato “accept nome_utilizador”, conseguia forçar um utilizador deste serviço, a segui-lo sem o seu expresso conhecimento ou consentimento. A partir deste momento o Twitter começou a ter um comportamento imprevisível e os contadores de quantas pessoas um indivíduo seguia, começaram a aparecer a zero, revelando que este comando tinha um impacto nefasto na infraestrutura de mensagens que serve como base ao Twitter.
Kirka não se ficando pela descoberta do bug, fez o que alguém no seu lugar se sentiria tentado a fazer. Juntamente com a sua namorada, começaram a forçar que algumas das maiores celebridades os seguissem. Ou seja, depois do turco publicar informação sobre a falha no seu blog, em poucas horas milhares de utilizadores conseguiram controlar a seu favor uma das funcionalidades principais do Twitter e causar um desequilibro no sistema de seguidores, com proporções ainda não determinadas.
A situação relativa ao contador dos seguidores e falha do comando "accept", já se encontra corrigida pela equipa do serviço. Claro que depois destes factos, o Twitter cancelou a conta do turco, mas os estragos já estavam feitos. Em sua defesa o “hacker por acidente”, referiu que apenas queria promover a sua banda favorita "Os Accept" e de modo a prestar tributo perante os seus seguidores, lançou um tweet “accept pwnz”. Foi para ele uma surpresa quando reparou que além do seu tweet não ter sido difundido tinha o utilizador “pwnz” a segui-lo.
É um episódio caricato, mas o mais grave nesta situação é que qualquer utilizador com nenhuns conhecimentos, devido à simplicidade da falha podia facilmente tirar partido deste "hack". O que de facto nos ensina este episódio, é que alguns serviços da internet que têm um elevado cuidado em se protegerem com os mais elaborados mecanismos de segurança, sucumbem às falhas mais triviais. Gizmodo
Este artigo tem mais de um ano
Loading ...
Impressionante! O problema dele como toda a gente nestas situações, foi o facto de descobrir algo que mais ninguém sabia e tentou tirar o máximo de partido até ser apanhado.
Mas pronto, ainda bem que o bug foi corrigido, agora que foi muito grave lá isso foi.
Imaginem que ele apanhava a lista de todos os utilizadores do twitter, ficavam milhoes de utilizadores a segui-lo. woow lol
A questão aqui e para mim a parte interessante da notícia, é a simplicidade da forma como o bug (sem querer) foi descoberto.
Vamos imaginar que isto acontece, por exemplo, no NetBanco. As consequências seria de outra dimensão e provavelmente seriam de um alarido tremendo… tudo porque alguém, num golpe do acaso, descobriu esta vulnerabilidade.
Mas e voltando ao Netbanco, não é que há dias soube de um caso parecido?
Aconteceu com uma conhecida e penso que a situação foi desta forma.
Estava ela a tentar entrar na sua conta netbanking de uma instituição bancária e enganou-se, salvo erro, num algarismo da sua conta (por exemplo a conta seria 221441813 e ela inseriu o 221141813) e colocou a password que era (por incrível que pareça) igual à do legitimo detentor daquela conta. Então só deu por ela quando estranhou o nome e o conteúdo do dito cliente.
Se as passwords são atribuídas pela própria pessoa… é muito “galo” terem ambos a mesma password… mas estas coisas acontecem!
Reportou a situação pormenorizadamente ao banco para que verificassem e agissem em conformidade.
Se são atribuídas automaticamente é um erro grave, pois as coincidências… acontecem.
Sim, quando falas que o que é interessante aqui é a forma como o bug foi descoberto concordo plenamente!
Não se isso acontece com toda a gente, mas com a maior parte deve acontecer. Quando se descobre um bug num jogo, dou o exemplo do GTA, eu normalmente exploro esse bug ao máximo e divirto-me. Foi o que fez este turco, o problema é que isto são bugs numa escala brutal.
Por acaso a mim nunca me aconteceu nada do genéro em sites, ou se aconteceu nem dei por ela, porque as vezes aparecem-nos erros a frente e nos já estamos tão habituados que carregamos ” Ok ” e nem lemos.
Quanto a essa história do banco, inacreditável… Talvez seja por isso que o BPI e a CGD dizem logo para mudar as passwords mal se tem o papel nas mãos. Não sei se isso se isso se aplica nos outros bancos visto que apenas tenho experiência com estes 2, mas deviam todos fazer o mesmo.
Pelos vistos o método de password aleatória por vezes não é assim tão aleatório… 😐
Foi o que pensei, há algum esquema aí no meio que nesse tipo de bancos não funcionará correctamente.
Eu trabalho com dois, um é excepcionalmente cauteloso. Mesmo que alguém consiga as minhas credenciais, não conseguirá fazer nada, a não ser que consiga “roubar” um segundo esquema de segurança… que não é muito provável e mesmo assim depende do que pretender fazer, pois tenho vários avisos de segurança, para diferentes montantes.
A outra instituição… é mais simples de fazer algum incomodo… mas…
Nunca fiar… há povo que vive para aprender a ludibriar esses esquemas de segurança… nada é impossível.
O nº de combinações possíveis com 4 algarismos, que é o tipo se password usada nos cartões electrónicos, é inferior ao nº de cartões existentes. Daí ser impossível não haver passwords repetidas.
free online advertising
Lembro-me que isso aconteceu a um dos redactores da exame informática, foi esse o caso ou existe outro? Se existe outro já começa a ser mau habito.
Esse não conhecia, este caso que relato aconteceu a uma conhecida.
Mas penso que a Ana Narciso tem também uma história desse género onde deixou a história no nosso fórum:
http://forum.pplware.com
Como ex-bancário deixem dizer que passwords coincidentes é o que por aí mais há. Por mais que se explique aos clientes, as datas de nascimento, o ano do casamento, etc,etc,etc são as passwords mais fáceis de decorar e as mais recorrentes.
No caso vertente mesmo que o banco as atribua automaticamente ninguém pode garantir que um dos clientes tenha posteriormente alterado a password. Notem que eu nem estou a defender o Banco. No homebanking é um caso muito, mas mesmo muito improvável, porque normalmente são 6 pelo menos os dígitos da password. Não sou matemático mas é quase como ser totalista no Euromilhões. Aqui vale o facto da honestidade da sua conhecida. Se ela usasse a referida conta, estou para ver como a bota iria ser descalçada.
free web advertising
advertise for free
Se ele fosse discreto e começasse a arrecadar seguidores e depois vendesse publicidade…
Se accept(um trigger da base de dados do twitter existe), reject tambem deve existir lol.
Isto para mim não é um bug, é mesmo uma grande falha por parte dos programadores do Twitter. Porem acções de comando básicas para cumprir certas funções.
A percepção que tenho é que quando aceitamos alguem no Twitter, esta notificação é enviada aos servidores através de uma especie de Twitt…
Será que “accept *” também servia? xD
Isso é o quê? Uma tentativa de ser seguido por toda a gente do Twitter?!?! 😀
Exacto, e se o gajo fosse esperto, tentava isso xD
Accept Vitor M.
:D:D
Será que a banda ficou famosa??? 😀