Twitter è stata informata di un grave bug sul social network ed ha presto posto rimedio. Ma si tratta di un bug che ha del clamoroso per il modo in cui permette a qualunque utente di sfruttare a proprio vantaggio, e con piena libertà, un trucco di enorme semplicità con cui diventare immediatamente delle Twitter-star.
La vulnerabilità si nascondeva in una sorta di linguaggio convenzionale che l’utente aveva la possibilità di utilizzare per dialogare con la propria bacheca. Invece dei tradizionali click, infatti, Twitter prevedeva anche alcune funzioni documentate con cui procedere ad azioni decisionali tramite semplice tweet convenzionale. Ad esempio “Follow tiziocaio” permette di seguire “tiziocaio”, così come “stats” permette di avere a disposizione una piccola finestrella in sovraimpressione con le statistiche relative alla propria attività sul network (followers/following). Non tutte le funzioni erano però documentate, ed una in particolare ha generato immediati problemi non appena scoperta.
Tutto nasce, a quanto pare, da un tweet privo di dolo digitato da un utente turco. Volendo parlare di un gruppo musicale denominato “Accept”, l’utente avrebbe digitato “accept pwnz”. La conseguenza non è stato il tweet cercato, ma piuttosto l’accettazione automatica dell’utente “pwnz” come follower. Il tutto, però, senza la minima consapevolezza da parte di quest’ultimo. Cosa è successo: semplicemente, l’assenza di filtri e la presenza di una funzione non documentata ha permesso di trasformare in automatico un utente arbitrario in un follower, senza che quest’ultimo ne avesse fatta richiesta alcuna. La funzione “accept” era celata poichè utile soltanto in caso di account protetti e raggiungibile soltanto dietro click. Un malaugurato tweet ha invece portato alla luce il problema.
Twitter, così funzionava l’elementare exploit
Una volta pubblicato il bug, per Twitter era questione di ore: l’abuso della funzione avrebbe moltiplicato presto i follower inconsapevoli iniettando massicce dosi di spam e di contenuti indesiderati sulle bacheche di tutto il mondo. Per questo l’intervento è stato deciso e solerte.
Sul proprio blog “Twitter Status” il social network ha spiegato di aver preso immediatamente a cuore la situazione, di aver disabilitato la funzione e di aver in seguito provveduto al filtraggio di quanti hanno fatto uso di “accept” per moltiplicare il proprio seguito sul network. Problema risolto, dunque, ma questo tipo di situazioni non può che mettere una volta di più in dubbio il grado di sicurezza con cui certe soluzioni vengono sviluppate: piccoli problemi, moltiplicati per milioni di persone, generano facilmente grossi guai.