Cadastre-se gratuitamente nas nossas newsletters


Os casos de denúncias realizadas por terceiros no Twitter na semana passada podem ser explicados por uma falha existente na própria plataforma (que ela não admite que seja falha), na qual é possível impersonar qualquer perfil e fazer uma denúncia em nome de terceiros – algo que naturalmente permite abusos de pessoas mal-intencionadas.

O colaborador do Núcleo e pesquisador de segurança Lucas Lago testou diferentes formas de se realizar uma denúncia e encontrou uma que não requer autenticação nem permissão para atuar em nome de terceiros.

QUAL É A FALHA?  Ela está em um formulário do Twitter, que não está presente nas ferramentas disponíveis na página principal da rede. O Núcleo não disponibiliza esse link por considerar que pode gerar abusos. Esse formulário permite que qualquer conta seja reportada em nome de qualquer usuário do Twitter.

Para realizar uma prova de conceito, Lucas denunciou a própria conta em nome da repórter Laís Martins (com autorização). Aproximadamente uma hora depois uma notificação que confirmou a denúncia apareceu no perfil da jornalista do Núcleo, mesmo sem ela ter feito nada.

Formulário do Twitter que permite denúncias em nome de terceiros. Basta colocar qualquer @ no primeiro campo para usar o nome de outra pessoa para denunciar.

Em nenhum momento o site solicitou as credenciais da conta que realizou a denúncia, nem confirmou via e-mail se a proprietária da conta estava ciente que aquele ato estava sendo realizado em seu nome por um terceiro.

Na segunda-feira, (28.mar.2022) o Núcleo falou sobre relatos de que o Twitter estaria atribuindo a usuários denúncias que nunca fizeram.

Twitter atribuiu a usuários denúncias que nunca fizeram
Dezenas de usuários reclamam que Twitter enviou email notificando sobre denúncias de outros perfis

Não confirmamos que essa foi a via utilizada para denunciar as contas. Mas, como reportamos ontem, é importante notar que há um padrão nas contas que estão sendo denunciadas: são perfis críticos ao atual governo.

E O TWITTER? O Núcleo entrou em contato com o empresa solicitando uma posição, e a resposta veio como um fio na conta oficial da plataforma em português.

A plataforma confirma que é possível fazer denúncias em nome de outra pessoa, mesmo sem autorização, e lamenta que haja "o uso mal intencionado" dessa ferramenta de "trabalho colaborativo".

Após realizar o teste, Lago cadastrou a vulnerabilidade no site HackerOne, a plataforma oficial do Twitter para reportar vulnerabilidades.

Texto Laís Martins e Lucas Lago
Edição Alexandre Orrico

Texto atualizado às 19h01 de 29.mar.2022 para incluir posicionamento do Twitter.

Twitter/X
Acesse o NúcleoHub, nossa comunidade no Discord.