Cerca nel blog

2010/05/14

Twitterremoto! Baco permette a chiunque di costringere qualcuno a diventare suo follower

Twitter, il social network minimalista con 100 milioni di utenti che concentrano i momenti della propria esistenza in 140 caratteri, ha rivelato nei giorni scorsi un buco di programmazione di dimensioni epiche. Chiunque digitasse semplicemente la parola "accept" seguita dal nome di un utente Twitter obbligava quell'utente a diventare suo seguace (follower) e quindi a ricevere tutti i suoi messaggi.

Una manna per gli spammer, che avrebbero potuto approfittarne per mandare messaggi Twitter a migliaia di vittime. Per fortuna la falla è stata turata rapidamente, ma non prima che vari burloni la sfruttassero per far arrivare i propri messaggi alle celebrità, come il popolarissimo conduttore comico statunitense Conan O'Brien, Oprah Winfrey o Ashton Kutcher.

(da Gizmodo)

Secondo Gizmodo, la falla era stata scoperta per caso da Bilo31, un utente turco di Twitter, al quale piace una band che si chiama appunto Accept. Aveva scritto su Twitter "Accept pwnz" (intraducibile espressione gergale di apprezzamento) e si è accorto che invece di veder comparire il proprio profondissimo messaggio, Twitter gli aveva risposto che l'utente Pwnz era diventato suo seguace. Lo ha detto alla sua ragazza e insieme hanno cominciato fare la cosa più logica in una situazione del genere: mandare messaggi con questa semplice sintassi alle celebrità presenti su Twitter.

Poi hanno commesso l'errore di raccontare del baco sul loro blog, e la notizia è esplosa in Rete, arrivando a Gizmodo, che poco responsabilmente l'ha pubblicata invece di avvisare i gestori di Twitter.  La pubblicazione ha seminato il caos per alcune ore, obbligando ad azzerare temporaneamente tutti i conteggi di tutti i seguaci. La falla è stata risolta e i conteggi sono stati più o meno ripristinati, ma gli utenti che sono stati obbligati a forza a diventare seguaci di altri continuano ad essere elencati.

Il baco straordinario, sfruttabile senza alcuna competenza informatica, deriva dal fatto che Twitter ha dei comandi testuali, come follow (per iscriversi ai messaggi di un utente) o stats (per visualizzare le proprie statistiche di utilizzo). Questi comandi sono pubblicamente documentati; la parola accept era semplicemente un altro comando, ma di quelli non documentati.

La vicenda ha ovviamente causato scompiglio e confusione pur nella sua breve durata, ma è soprattutto una dimostrazione di cattiva programmazione da parte di chi ha in mano cento milioni di utenti e del fatto che la security through obscurity, ossia la sicurezza ottenuta mediante la segretezza anziché la buona programmazione ("Sì, c'è un baco grosso come una casa, ma non diciamolo in giro e nessuno lo scoprirà"), è un mito che resiste e continua a fare danni.

Fonti: BBC, Gizmodo.

Nessun commento: