Uma grande confusão tomou conta do Twitter na última terça (21), após uma falha de segurança ser publicada “inocentemente” por um adolescente australiano. Pearce Delphin, 17, morador de Melbourne, afirma que a brecha identificada e postada por ele no microblog foi o ponto de partida de todo o pânico. O problema começou, conforme revela Delphin em entrevista ao UOL Tecnologia, quando hackers alteraram o código que ele divulgou, fazendo com que mensagens fossem retuitadas automaticamente ao passar o ponteiro do mouse sobre elas.

Pelo menos 50 mil usuários utilizaram o recurso de forma mal intencionada, num período de apenas cinco minutos, segundo a TrendMicro, empresa especializada em segurança. A falha causou um efeito em cadeia de preocupação entre os tuiteiros do mundo, que não tinham ideia do que estava acontecendo, nem se seus perfis e computadores haviam sido contaminados por alguma praga virtual. Não houve roubo de senhas dos perfis, mas alguns usuários foram redirecionados a sites pornográficos.

Acompanhe abaixo a entrevista concedida pelo jovem ao UOL Tecnologia, por e-mail:

UOL Tecnologia – Quais eram suas intenções quando você publicou a brecha de segurança no Twitter?
Pearce Delphin – Quando publiquei a vulnerabilidade no meu perfil no Twitter, não tinha ideia que iria alcançar tamanha proporção. Minha intenção era simplesmente ver se isso era possível, depois que observei uma brecha no CSS [Cascading Style Sheets - linguagem que controla o modo como as páginas são exibidas] que mostrava “tuítes arco-íris”. Essa brecha permitia mudar a cor do plano de fundo dos tuítes.

Depois de retuitar essa falha específica, analisei o código com mais atenção e ficou evidente que era possível usar qualquer JavaScript ou HTML, e não apenas XSS [brecha de segurança que usa mudanças no código de páginas da web] – o que significava que no lugar de apenas mudar a aparência de um tuíte, você poderia executar comandos a partir do navegador de internet do usuário.

Para testar isso, usei um comando JavaScript para a função de “mouse over” (e agora, várias empresas de segurança e até mesmo o Twitter estão se referindo ao caso como falha do XSS “onmouseover”) para gerar uma janela pop-up com os termos “uh oh”.

Depois disso, parece que alguns dos meus seguidores perceberam o poder dessa vulnerabilidade no XSS e, em poucos minutos, assumiram controle dos scripts publicados na minha timeline.

UOL Tecnologia – Depois de toda a repercussão do caso, você se arrepende do que fez?
Delphin – Não, não me arrependo de nada. Aparentemente o Twitter foi informado sobre a vulnerabilidade há um mês por um usuário japonês. Era apenas uma questão de tempo até que alguém a descobrisse e tornasse tudo público. Ainda bem que a falha parece não ter sido utilizada para roubar informações das contas e, mesmo com alguns scripts maliciosos usados nos worms para retuitar automaticamente mensagens, nada muito perigoso aconteceu.

UOL Tecnologia – Você tem medo de alguma consequência legal?
Delphin – Não, porque o que eu fiz não é tecnicamente ilegal, em vez disso eu apenas identifiquei e demonstrei uma vulnerabilidade no Twitter. Acho que tudo ficará bem. A coisa com a qual eu mais me preocupo é o Twitter apagar a minha conta. Entretanto, já se passaram alguns dias , então penso que se eles quisessem deletá-la, já o teriam feito até o momento.

UOL Tecnologia – Você se considera um hacker?
Delphin – Não, não me considero um hacker. Só tenho interesse em segurança em tecnologia.

UOL Tecnologia – Quando começou seu interesse em segurança? Como aprendeu o que sabe?
Delphin – Sempre tive interesse em tecnologia e segurança. Ganhei meu primeiro computador quando tinha oito anos e, desde então, sempre fiquei atento à tecnologia, particularmente internet. Nunca recebi nenhum treinamento formal – tudo o que aprendi foi por mim mesmo e online.

UOL Tecnologia – Você admira alguma personalidade do mundo da tecnologia? E quais não gosta?
Delphin – Pessoalmente, não admiro muitas. Gosto muito do Adam Curry – foi o cara que inventou o “podcasting” – ele tem uma personalidade realmente espirituosa e é alguém interessante em geral. Uma pessoa que eu não gosto na comunidade de tecnologia é Steve Jobs [CEO da Apple]. Ele parece arrogante, hipócrita e mal-intencionado. Nada desejável como chefe, empregador.

UOL Tecnologia – Aprendeu alguma coisa com os eventos da última terça (21)?
Delphin – Aprendi quão rápido uma informação pode se espalhar pelo Twitter. Em poucos minutos depois de eu publicar meu tuíte, havia milhares de pessoas escrevendo seus próprios códigos para explorar a vulnerabilidade. Também acho que a resposta do Twitter ao evento foi adequada, mas eles poderiam ter lidado melhor com a situação.

Por sorte, quando a vulnerabilidade veio a público pela primeira vez, foi aparentemente no meio da noite na América do Norte. Se fosse de dia, poderia ter sido muito pior. O fato, no entanto, é que a vulnerabilidade foi onipresente por horas, sem nenhum pronunciamento da equipe do Twitter sobre quando iriam corrigi-la, enquanto houve muita confusão e aflição na comunidade de tuiteiros – levando a questionar a segurança do microblog.

Em termos éticos e a partir dos conhecimentos sobre os fatos, a situação poderia ter sido contornada melhor se o Twitter tivesse sido notificado pelos usuários – em vez deles “elogiarem” a descoberta da brecha no XSS.

Mesmo assim, não é trabalho de uma pessoa proteger a integridade de um site que utiliza. A responsabilidade é do Twitter – de garantir a própria segurança e a de seus usuários.

Além do mais, depois que os “tuítes arco-íris” foram publicados, era uma questão de tempo até que alguém descobrisse que poderia usar qualquer tipo de JavaScript ou HTML nos seus tuítes.

UOL Tecnologia – Gostaria de dizer algo para os tuiteiros do Brasil?
Delphin – Sigam me! Meu perfil é @zzap.