Ogromna dziura w Twitterze, kluczowe dane chwilowo wyzerowane

To dziura tak duża i tak banalna, że aż nie chce się w nią wierzyć.

 

Błąd jest poważny - możemy "zmusić" dowolne konto do śledzenia naszego profilu. By uzyskać ten efekt należy wpisać w Twitterze: "accept [nazwa konta]", a następnie wysłać ćwierknięcie w czeluści internetu. Już po chwili liczba osób, które nas obserwuje powiększy się o profil, który wpisaliśmy.

 

Sztuczka ta udała się autorom bloga WebRazzi. Stworzyli oni "potwora" - usera o wdzięcznej ksywce @bugrazzi, który zaczął niezwykle szybko zdobywać popularność.


Jak sami widzicie dziura jest... banalna. I na dodatek ciągle działa. A przynajmniej działała jeszcze przed chwilą, choć zespól Twittera poinformował, że pracuje już intensywnie nad problemem. Przed momentem liczba osób obserwujących profile została wyzerowana. Sam serwis działa teraz bardzo powoli (piszę o godzinie 19.40, 10.05.2010).

 

Wbrew pozorom ten mały (i głupi) błąd ma bardzo duże znaczenie. Na Twitterze rozgrywane jest wiele akcji marketingowych w oparciu o dane o liczbie obserwujących (ang. followers). Nietrudno sobie wyobrazić, że jakiś sprytny spec od internetowego marketingu "zbudował" za pomocą tej dziury kilkanaście niezwykle popularnych, liczonych w dziesiątkach tysięcy profili w celach zarobkowych. Za dostęp do profili płacą agencje reklamowe, ale skuteczne może być również zwykłe przekierowywanie ruchu na odpowiednie strony za pomocą specjalnie wygenerowanych linków (tzw. referrali).

 

Nie wiadomo jak długo błąd Twittera pozostawał niezauważony. W tym czasie ktoś sprawny mógł się naprawdę nieźle obłowić. Tymczasem uczciwi użytkownicy lub firmy, które pracowały na swoich obserwujących kilka lat już zaczynają narzekać.

 

Aktualizacja

 

Zespół Twittera poinformował, że problem już został rozwiązany. Poprawne dane o liczbie obserwujących są przywracane.

 

Poprosiłem o komentarz Piotra Koniecznego z serwisu Niebezpiecznik.pl, konsultanta do spraw bezpieczeństwa w sieci:

"Dziura" w Twitterze to wynik braku weryfikacji kontroli dostępu do funkcji odpowiedzialnej za dodawanie użytkowników do przyjaciół. Warunkiem, który przeoczyli programiści Twittera, powinno być sprawdzenie, czy w kolejce do akceptacji rzeczywiście znajduje się żądanie od danego użytkownika. 

Brak weryfikacji kontroli dostępu do funkcji to często popełniany przez programistów błąd. Jego znalezienie nie jest specjalnie trudne, ale wymaga dokładnego przemyślenia i ułożenia przypadków testowych, co przy aplikacjach z rozbudowanym modelem praw dla użytkowników potrafi zając wiele czasu.

 

Radek Zaleski


Więcej o: