Os casos de denúncias realizadas por terceiros no Twitter na semana passada podem ser explicados por uma falha existente na própria plataforma (que ela não admite que seja falha), na qual é possível impersonar qualquer perfil e fazer uma denúncia em nome de terceiros – algo que naturalmente permite abusos de pessoas mal-intencionadas.
O colaborador do Núcleo e pesquisador de segurança Lucas Lago testou diferentes formas de se realizar uma denúncia e encontrou uma que não requer autenticação nem permissão para atuar em nome de terceiros.
QUAL É A FALHA? Ela está em um formulário do Twitter, que não está presente nas ferramentas disponíveis na página principal da rede. O Núcleo não disponibiliza esse link por considerar que pode gerar abusos. Esse formulário permite que qualquer conta seja reportada em nome de qualquer usuário do Twitter.
Para realizar uma prova de conceito, Lucas denunciou a própria conta em nome da repórter Laís Martins (com autorização). Aproximadamente uma hora depois uma notificação que confirmou a denúncia apareceu no perfil da jornalista do Núcleo, mesmo sem ela ter feito nada.
Em nenhum momento o site solicitou as credenciais da conta que realizou a denúncia, nem confirmou via e-mail se a proprietária da conta estava ciente que aquele ato estava sendo realizado em seu nome por um terceiro.
Na segunda-feira, (28.mar.2022) o Núcleo falou sobre relatos de que o Twitter estaria atribuindo a usuários denúncias que nunca fizeram.
Laís Martins
Não confirmamos que essa foi a via utilizada para denunciar as contas. Mas, como reportamos ontem, é importante notar que há um padrão nas contas que estão sendo denunciadas: são perfis críticos ao atual governo.
E O TWITTER? O Núcleo entrou em contato com o empresa solicitando uma posição, e a resposta veio como um fio na conta oficial da plataforma em português.
A plataforma confirma que é possível fazer denúncias em nome de outra pessoa, mesmo sem autorização, e lamenta que haja "o uso mal intencionado" dessa ferramenta de "trabalho colaborativo".
Terceiros podem fazer denúncias em nome de outros. Isso existe para permitir a denúncia de Tweets ou contas quando as pessoas afetadas estão impossibilitadas por algum motivo - seja por estarem sem acesso à sua conta ou por não se sentirem confortáveis em denunciar, por exemplo.
— Twitter Seguro 🇧🇷 (@TwitterSeguroBR) March 29, 2022
Lamentamos o uso mal intencionado que tem sido feito dessa ferramenta que permite denúncias por terceiros, recurso que existe para possibilitar um trabalho colaborativo, junto com a nossa comunidade, para ajudar a preservar a segurança das pessoas no Twitter.
— Twitter Seguro 🇧🇷 (@TwitterSeguroBR) March 29, 2022
Após realizar o teste, Lago cadastrou a vulnerabilidade no site HackerOne, a plataforma oficial do Twitter para reportar vulnerabilidades.
Texto Laís Martins e Lucas Lago
Edição Alexandre Orrico
Texto atualizado às 19h01 de 29.mar.2022 para incluir posicionamento do Twitter.
Twitter
