Usuario descubre inquietante bug de seguridad en Twitter

El usuario @TwittBoy acaba de hacer público en un bug de seguridad que mediante un sencillo tweet, cambiar la url que tienes en tu perfil y funciona así:

Escribes: crear url www.google.com (sin http://) y te saldrá el mensaje:


Al revisar el profile, la web es cambiada por la escrita en el tweet

Este curioso bug en español, también funciona en inglés, a escribir set url www.google.com

Este “bug” no se limita a cambiar la dirección sino que además, se puede cambiar el nombre  al escribir crear name nuevonombre.

El bug afecta especialmente a las cuentas que usan apps como TwitterFeed o GroupTweet

Además de afectar las cuentas de Twitter que automáticamente publican posts con programas como TwitterFeed, también afectan a aquellas cuentas que automáticamente twittean los DMs que reciben gracias a la aplicación GroupTweet.

Para el ejemplo usé mi cuenta personal @EduardoWheeler para enviar un mensaje directo (DM) a mi otra cuenta @hum0r, el resultado fue predecible. Al enviar crear url www.google.com vía DM, a los pocos segundos la dirección de @hum0r se cambia a www.google.com lo que significa que las cuentas que usean apps como TwitterFeed, GroupTweet u otras, pueden recibir cambios de forma remota.

Estos DMs se autopublican si la cuenta usa apps como GroupTweet

Una prueba realizada por @axidsugar en la cuenta @tecn que también usa GroupTweet

Por eso en GeeksRoom recomendamos que por precaución verifiques que apps tienes funcionando en tu cuenta, para ello ingresa a tu web en Twitter luego Configuración > Conexiones, y darle “revocar acceso” a aquellas apps que no uses o que de forma remota puedan alterar tus datos.

Es prudente señalar que a esto que nosotros llamamos “bug” puede ser tomado por otros como “simples comandos” de Twitter, lo cual es debatible, especialmente si vemos el último caso planteado en el que con Apps como GroupTweet una cuenta puede ser cambiada de nombre remotamente.

EDIT: Para los que usamos GroupTweet como app de trabajo, una sencilla forma de solucionar el problema comentado es iniciar el formato del tweet con una palabra, letra o símbolo, en mi caso @hum0r puse ✉ y quedó con el formato siguiente:

[Fuente Todotwitter]



4 Comments

  1. Marcoslhc 14 julio 2010
    • Eduardo Wheeler 14 julio 2010
  2. Mario 14 julio 2010
    • Eduardo Wheeler 14 julio 2010