O Twitpic acabou de consertar a falha que permitia postar na timeline de usuários do Twitter. @danilo falou com Noah, o criador do Twitpic e o Noah resolveu a falha. Um engenheiro do Twitpic entrou em contato pedindo detalhes. Agora você vai ver qual era o problema, qual a solução dada e porque não postamos antes. Porque era MUITO simples de invadir. E como agora você PODE voltar a usar o Twitpic fazendo uma pequena alteração no seu Pin Code. Acompanhe:

1. A SUA CONTA DO TWITTER E A SUA CONTA NO TWITPIC

O Twitpic é um parceiro do Twitter. Qualquer pessoa que tem Twitter pode logar no Twitpic para subir imagens e textos. Você pode postar NO Twitter direto da página do Twitpic. Por exemplo. Eu tenho a conta @farofa . Quando eu entro no Twitpic e clico no botão de login, ele pede permissão (allow) para usar o Twitter. Eu dou o allow (oauth), digo que quero fazer upload de uma imagem e aparece isso:

Aqui mesmo você sobe a imagem, escreve o texto e posta direto na sua timeline do Twitter.
Acontece que ao abrir uma conta no Twitpic, você automaticamente, sem pedir ganha um acesso via email. Você pode postar pelo celular, ipad, email do Desktop, qualquer lugar, por esta 'porta de entrada'. Veja a seguir:

2. O SEU EMAIL NO TWITPIC PARA PUBLICAR NO SEU TWITTER

Se você entrar no Twitpic agora, vai ver  do lado direito, um email de acesso remoto a sua conta. Todos os emails são formados do mesmo jeito:

Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo.

. O do Ashton Kutcher, por exemplo, é Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. . Essa combinação de 4 números é o PIN CODE.

Ou seja, como quase todo mundo usa o Twitpic (é um dos primeiros serviços de upload de imagens do Twitter, um dos mais usados), desde os criadores do Twitter como @ev, @biz, @aplusk até @realwbonner, @manomenezes, @huckluciano, e todos nós, daria pra fazer um estrago.  Quem tem, estava vulnerável.

Se você mandar 9999 (já que não tem o email Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. ) emails, cada um com uma combinação, UM deles vai publicar na conta do Ashton. Essa foi a minha descoberta teórica. Faltava testá-la na prática.

Já sei ...e quem vai mandar 10 mil emails? Aí é que entra o programador. A seguir...

3. O PODER DA PROGRAMAÇÃO

Assim que contei a falha pro @danilo, pedi para ele tentar quebrar o meu PIN CODE, da conta @farofa. Em duas horas ele quebrou meu código e publicou no meu perfil. Eu fui lá e deletei. E começamos a pensar numa forma de avisar o Twitter.

O @danilo não apenas entendeu o problema como desenvolveu um programa para encontrar qual o PIN CODE que conseguiu publicar. Se você mandar UM email pra 10 MIL contas, o servidor entende que é spam e barra. Alguns, pelo menos. E se você mandar para cada pessoa um email com as 10 mil combinações, você não vai saber QUAL o PIN CODE que foi publicado.

Danilo fez um programa que mandava um email de cada vez, com uma mensagem de texto que continha o PIN CODE. Por exemplo, o email Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. ia com uma foto e um #1111. Assim, se este texto aparecer, este era o PIN CODE. Para não publicar o número em si (como aconteceu no caso do Aguinaldo Silva), ele fez uma equação a mais, o PINCODE vezes x mais y. Pra disfarçar o número que saia na timeline. Garoto esperto, esse @danilo.

Mesmo sem saber programar, qualquer pessoa poderia fazer uma lista de emails , com todas as possibiliades, de  Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. até Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. e UM iria publicar na minha timeline.

Uma falha GRAVE. Que, como o @isenna disse,

4. O FINAL DA HISTÓRIA

Mandei o email pra segurança do Twitter, mas nada aconteceu. Ao contrário, Mano Menezes e Sabrina Sato foram invadidos dessa mesma forma de ontem pra hoje. Nesta segunda o @danilo falou com o Twitpic direto (domingo eles não responderam, tivemos que falar com o plantão do Twitter)

Depois de conversarem, Noah e Meltingice entenderam o problema e fizeram uma mudança: a partir de 8 tentativas seguidas de envio de emails para o Twitpic, em sequência, o sistema bloqueia o envio. Não é o ideal, mas funciona.

O ideal seria ter um PIN CODE alfanumérico, com letras E números, como todos tem, o Flickr, por exemplo. Com números e letras as combinações são MUITAS. Porque você tem 10 dígitos e mais 26 letras para permutar de 4 em 4. É muita coisa. Basta fazer uma simples conta de análise combinatória de 36 possibilidades tomadas 4 a 4.

Agora que já está tudo certo, ainda há um BOM CONSELHO. Mude o seu Pin Code.

Entrando na sua conta do Twitpic, clique em SETTINGS e mude o PIN CODE, troque os 4 números default por um que só você sabe.

Abaixo, o depoimento completo do @danilo sobre o caso, como eu havia prometido:

 "... sempre olhei para o uniqueID do TwitPic c/ desconfiança, mas nunca pensei em fazer algo com ele,
até que ontem a @rosana chegou com a ideia de gerar 10mil combinações e enviar emails p/ todas elas, o que entrar revelaria o uniqueID do perfil, sem pensar já corri para desenvolver um programa para explorar tal falha, primeiramente fiz um executasse o SMTP teste de "RCPT TO: = 550" em 10mil combinações,
isso me retornaria o unique id válido rapidamente sem a necessidade de enviar os 10mil emails, infelizmente todos aliases *@twitpic.com retornam "RCPT TO = 550", o teste não funcionou, então
corri p/ minha shell, rodei um serviço de SMTP local juntamente com um script que colocou 10mil emails na queue, cada email com sua imagem anexa e um título citando o ID válido.
O teste foi um sucesso, e em menos de 2horas revelou o twitpic unique_ID de um perfil desconhecido. Ou seja, é possível conseguir o uniqueID em algumas horas e twittar qualquer coisa em qualquer conta no twitter que esteja integrada ao TwitPic(quase todas)." (@danilo)

até que ontem a @rosana chegou com a ideia de gerar 10mil combinações e enviar emails p/ todas elas, o que entrar revelaria o uniqueID do perfil, sem pensar já corri para desenvolver um programa para explorar tal falha, primeiramente fiz um executasse o SMTP teste de "RCPT TO: = 550" em 10mil combinações,

PS - Valeu pelo email, Noah. Informações do R7 por Rosana Hermann.