Uma vulnerabilidade do TweetDeck na noite passada acabou tirando todo o serviço do ar durante horas – mas as investigações iniciais indicam que o problema pode ter sido um simples acidente causado por um adolescente.
A conta @FiroXL twittou um pequeno teste: algumas tags simples, juntamente com um símbolo de coração e uma frase em alemão que traduz algo como “Eu me pergunto se isso vai funcionar …” Funcionou: as tags fizeram o seu trabalho e o símbolo foi publicado através do TweetDeck perfeitamente, o que indica que o serviço aconteceu através da execução de comandos de texto simples. @FiroXL não estava ciente da vulnerabilidade inicial, descoberta em 2011, mas ele acidentalmente acabou trazendo-a de volta.
wtf?! pic.twitter.com/B18fUIat2j
— Kevin Smith (@OfficialKLS) 11 junho 2014
A conta pertence a um austríaco de 19 anos chamado Florian, que tem menos de 100 seguidores e nenhuma ligação óbvia com hackers ou problemas de segurança. Assim que descobriu a vulnerabilidade, ele relatou publicamente ao TweetDeck, potencialmente alertando quem estava monitorando as menções da conta do serviço no Twitter. Poucas horas depois do primeiro tweet de @FiroXL, usuários começaram a ver mensagens de aviso, entregues através do bug XSS, que o serviço não era mais seguro.
Procurado pelo The Verge, Florian enfatizou que ele estava simplesmente experimentando com código, e não quis ofender o TweetDeck ou quaisquer usuários. Ele também manifestou surpresa com a rapidez que o bug saiu do controle. “Isso foi um acidente”, disse ele. “Eu não queria tornar isso público. Eu não queria fazer nada de mal”.
A vulnerabilidade permitia que atacantes executassem remotamente códigos javascript. Usuários relataram janelas pop-up dizendo “Yo!” ou “Por favor, feche agora TweetDeck [sic], não é seguro”. O Twitter tirou todas as versões do TweetDeck até que o bug fosse corrigido, mas agora já restaurou o app, relatando que sua correção está funcionando como deveria. Usuários são direcionados para sair de suas contas e entrar novamente para ativar a correção.
