Um erro em um produto do Twitter pode ter permitido que agressores enviassem tweets de qualquer conta e deletassem fotos e vídeos de tweets publicados. De acordo com um post de blog recente do pesquisador de segurança Anand Prakash . É a segunda vulnerabilidade ampla no produto. Foi denominado de Studio, a vir a público recentemente, levantando questões sobre o quão bem o Twitter protege sua plataforma.

O problema

O Twitter lançou o Studio em agosto do ano passado. É uma ferramenta para editores de mídia, para acelerar o processo de publicação de conteúdo em vídeo. Mas os participantes do programa falho do Twitter rapidamente perceberam o erro. Que poderiam explorar falhas no código do Twitter para publicar tweets em contas de outras pessoas sem roubar suas senhas.

“Comecei a procurar por brechas de segurança após o lançamento [do Studio]”, explicou o pesquisador Anand Prakash em um post. Publicado na semana passada, detalhando a vulnerabilidade. Ele descobriu o problema apenas um dia depois do lançamento e o testou na conta de um amigo.

Um porta-voz do Twitter contou ao Gizmodo, que a empresa consertou o erro dentro de 24 horas depois do relato de Prakash. O porta-voz acrescentou que a empresa não tem evidência de que qualquer conta tenha sido comprometida. Exceto a do amigo de Prakash, a qual ele acessou com permissão, para demonstrar o erro.

Esse erro “poderia ter sido usado por agressores para tweetar de outras contas, subir vídeos em nome de um usuário, deletar fotos e vídeos dos tweets de uma pessoa, ver os arquivos de mídia privados subidos por outras contas do Twitter etc”, explicou Prakash.

Pelo fato de não haver checagens de autorização, Prakash conseguiu substituir o ID do usuário da conta alvejada dentro do código do Studio, permitindo-lhe tweetar a partir da conta sem ter acesso à sua senha.

A exploração

Felizmente, é provável que ninguém tenha explorado o erro antes de Prakash descobri-lo. Em seu lançamento, o Studio esteve disponível apenas para editores que haviam sido listados pelo Twitter. O site corrigiu o erro dentro de 24 horas e pagou a Prakash US$ 5.040 por sua pesquisa.

Mas Prakash não é o único pesquisador que descobriu falhas sérias no Studio. Um outro, conhecido como Kedrisch, contou ao Motherboard. Ele encontrou um erro similar, ainda existente, no código do Studio em fevereiro deste ano. A vulnerabilidade permite a publicar tweets da conta de outro usuário, contanto que um arquivo de mídia estivesse em anexo. O Twitter ajustou essa vulnerabilidade em três dias, pagando-lhe US$ 7.560 por ter descoberto o defeito. O Twitter, como muitas empresas, recompensa pesquisadores. Para isso, tem que ser de forma responsável, divulgam vulnerabilidades por meio de seus programas de caças a erros.

A capacidade de tweetar da conta de outra pessoa sem precisar de sua senha poderia ter se provado bem útil para um agressor. Especialmente em uma época em que, por exemplo, o presidente dos Estados Unidos usa o Twitter como plataforma principal de comunicação com o público. Programas de recompensa para a descoberta de erros são uma boa maneira encontrada pelas empresas para rastrear vulnerabilidades em seus produtos. Mas o fato de que o Studio tenha tido vulnerabilidades tão grandes em seu lançamento não inspira exatamente muita confiança.