Uma falha no Twitter existiu por anos e permitia que fossem postadas mensagens a partir de qualquer conta, sem precisar de autenticação.
A vulnerabilidade foi identificada pelo pesquisador de segurança identificado apenas como Kedrisch e revelada ao Twitter, que corrigiu o problema em 28 de Fevereiro deste ano, apenas dois dias depois da denúncia.
Dada sua complexidade, aparentemente a brecha não foi utilizada por ninguém antes da correção. A falha estava presente na plataforma de publicação de anúncios da rede social, no sistema que permitia a visualização de uma postagem antes de ativar a publicação. O processo envolvia compartilhar conteúdo com a conta da vítima e ajustar parâmetros no endereço de publicação, burlando a autenticação e publicando a mensagem automaticamente como se fosse de autoria do alvo do ataque.
Com o uso de contas sequestradas no Twitter como ferramenta política ou arsenal de espionagem, uma vulnerabilidade deste vulto oculta por anos é algo para se preocupar. A brecha foi denunciada graças ao programa de recompensas para bugs oferecidos pela empresa e a descoberta rendeu a Kedrisch a soma de US$7.560, pouco mais que R$24 mil no câmbio atual, uma pequena cifra para o Twitter, mas que evitou um estrago muito maior.
Mais detalhes técnicos sobre sua investigação podem ser encontrados no blog administrado pelo pesquisador de segurança.
