22 diciembre 2024

Usuario descubre inquietante bug de seguridad en Twitter

El usuario @TwittBoy acaba de hacer público en un bug de seguridad que mediante un sencillo tweet, cambiar la url que tienes en tu perfil y funciona así:

Escribes: crear url www.google.com (sin http://) y te saldrá el mensaje:

Al revisar el profile, la web es cambiada por la escrita en el tweet

Este curioso bug en español, también funciona en inglés, a escribir set url www.google.com

Este «bug» no se limita a cambiar la dirección sino que además, se puede cambiar el nombre  al escribir crear name nuevonombre.

El bug afecta especialmente a las cuentas que usan apps como TwitterFeed o GroupTweet

Además de afectar las cuentas de Twitter que automáticamente publican posts con programas como TwitterFeed, también afectan a aquellas cuentas que automáticamente twittean los DMs que reciben gracias a la aplicación GroupTweet.

Para el ejemplo usé mi cuenta personal @EduardoWheeler para enviar un mensaje directo (DM) a mi otra cuenta @hum0r, el resultado fue predecible. Al enviar crear url www.google.com vía DM, a los pocos segundos la dirección de @hum0r se cambia a www.google.com lo que significa que las cuentas que usean apps como TwitterFeed, GroupTweet u otras, pueden recibir cambios de forma remota.

Estos DMs se autopublican si la cuenta usa apps como GroupTweet

Una prueba realizada por @axidsugar en la cuenta @tecn que también usa GroupTweet

Por eso en GeeksRoom recomendamos que por precaución verifiques que apps tienes funcionando en tu cuenta, para ello ingresa a tu web en Twitter luego Configuración > Conexiones, y darle «revocar acceso» a aquellas apps que no uses o que de forma remota puedan alterar tus datos.

Es prudente señalar que a esto que nosotros llamamos «bug» puede ser tomado por otros como «simples comandos» de Twitter, lo cual es debatible, especialmente si vemos el último caso planteado en el que con Apps como GroupTweet una cuenta puede ser cambiada de nombre remotamente.

EDIT: Para los que usamos GroupTweet como app de trabajo, una sencilla forma de solucionar el problema comentado es iniciar el formato del tweet con una palabra, letra o símbolo, en mi caso @hum0r puse ✉ y quedó con el formato siguiente:

[Fuente Todotwitter]

Siguenos por Twitter a través de @Geeksroom y no te pierdas todas las noticias, cursos gratuitos y demás artículos. También puedes seguirnos a través de nuestro canal de Youtube para ver nuestros vídeos, a través de Instagram para ver nuestras imágenes! O vía Bluesky si ya estás cansado de Twitter

6 comentarios en «Usuario descubre inquietante bug de seguridad en Twitter»

  1. No me parece un bug. Es sólo una característica, con una sintaxis muy específica y estrica, dicho sea de paso. Es otra manera de alterar nuestro perfil que debemos usar con tanto cuidado como el que usamos para actualizarlo via el panel de control.

    1. Con tu permiso cito el final de mi post:

      «Es prudente señalar que a esto que nosotros llamamos “bug” puede ser tomado por otros como “simples comandos” de Twitter, lo cual es debatible, especialmente si vemos el último caso planteado en el que con Apps como GroupTweet una cuenta puede ser cambiada de nombre remotamente.»

  2. concuerdo con @Marcoslhc …Esto no es un bug. Fijate en las opciones de «Móvil» y te aparecen ciertos comandos que son utilizados para hacer algunas acciones de manera remota o sin un programa o API….

    Me imagino que estas son configuaraciones adicionales que no aparecen en las opciones todavia, pero que deben estar ya por ser liberadas. Intenta (en tus dos cuentas) desactivar la casilla de «Móvil» para ver si afecta tus configuraciones…

    Saludos!

    1. Bueno @Mario, gracias a ti y a @Marcoslh por la opinión, independiente de SI es o NO es un bug, estos comandos abren la puerta a cambios remotos como los que planteé en la 2da parte del post y que afecta a cuentas que usan apps como TwitterFeed o GroupTweet.

      Ya hice la prueba de «móvil» como recomendaste y continua el problema, así que temporalmente «revoqué el acceso» a GroupTweet en mis 4 cuentas http://ow.ly/2bn74 (las 4 usan GroupTweet para operar).

      Es un gusto ver opiniones diferentes pero expresadas de forma educada. Buen día.

      Ed

Los comentarios están cerrados.