O TweetDeck foi ontem hackeado e a culpa foi aparentemente de um inocente jovem de 19 anos


Ontem, uma falha de segurança no TweetDeck foi exposta, levando ao fecho temporário do serviço por parte do Twitter. Basicamente vários utilizadores começaram a receber mensagens estranhas através da app. O alegado ataque foi aparentemente provocado por um jovem australiano de 19 anos, que assina como @firoxl. O Twitter não confirmou.

A falha de segurança existente no TweetDeck não é novidade. Aliás, ela até tem um nome: XSS, a abreviatura para cross-site scripting. Basicamente através da execução remota de comandos Javascript é possível controlar o TweetDeck de desconhecidos, fazendo abrir, por exemplo, janelas pop-up com mensagens do tipo “Yo!” ou “Please close now TweetDeck, it is not safe.” O problema já tinha sido reportado por alguns programadores e dito como solucionado por parte da equipa do TweetDeck. Acreditava-se, portanto, que a falha estava resolvida, não se sabendo ao certo como a mesma foi destapada agora.

O ataque de ontem levou a que muitos começassem a receber mensagens pop-up estranhas nos seus TweetDecks. Mensagens com esta, partilhada pelo utilizador @OfficialKLS no Twitter…
tweedeck_hackerjun14_popup

Outro ataque fez com que muitos utilizadores retweetassem tweets sem na verdade terem dado ordem para tal. Várias contas populares foram afectadas: @NYTimesBusiness, @Vulture, @ScienceNews, @YourAnonNews, @Salon e @SFGate, por exemplo. Um dos tweets que mais se disseminou foi este:
tweedeck_hackerjun14_rt

No entanto, o jovem australiano de 19 anos @firoxl disse que foi ele o responsável pelo ataque. O jovem tweetou algo muito simples: algumas tags, um símbolo do coração e uma frase que traduzida do alemão quer dizer “espero que isto funcione”. E alegadamente funcionou: as tags cumpriram a sua função, e o símbolo do coração, que o Twitter normalmente não processa, apareceu bem no TweetDeck, indicando que o serviço estava a executar comandos de texto simples.

(Note-se que o símbolo do coração utilizado por @firoxl foi o mesmo usado posteriormente nos ataques.)

@firoxl – que tem menos de 100 seguidores – desconhecia a falha de segurança (descoberta em 2011). Chegou acidentalmenta até ela, conforme explicou à CNN numa entrevista via Twitter.

O jovem de 19 anos tentou alertar o TweetDeck, mas a falha rapidamente se propagou pela Internet, originando os ataques em cima referidos.