Cargando...

Logo Aplicacion
Extraño bug en Twitter Permite cambiar los datos del perfil con un simple tweet...



Hoy me ha ocurrido una de esas cosas que cuando las cuentas, la cara de tu interlocutor dibuja una mueca deforme,mezcla entre incomprensión e incredulidad...
Resulta que me disponía a compartir en Twitter por web éste post de @hernanmdq con la siguiente fórmula:

Crear URL para seguir campañas en Analytics http://bit.ly/beM4hT vía @hernanmdq


Cuál fué mi sorpresa cuando veo que además de no publicarse el tweet, aparece un mensaje en la barra superior:

bug 01

Extrañado, miro mi timeline varias veces y repito la acción algunas veces más, siempre con el mismo resultado. Extrañado pruebo varias combinaciones eliminando el "vía..." y jugando con el resto de palabras... de ahí alguno de mis extraños tweets de esta tarde.
Hasta que doy con una combinación:

crear url twitter.com/TwittBoy


bug2

Desconcertado, contacto con @hernanmdq para comprobar si le había ocurrido algo parecido y con @aartiles24 (de e24apps), conocido ya por los lectores de éste blog por las diversas herramientas para Twittercreadas por él que hemos analizado.
Después de un buen rato de pruebas y de debate, hemos descubierto un importante bug en Twitter, tanto para la versión inglesa como para la versión en Español. Hemos dado con una serie de comandos que mediante un simple tweet pueden cambiar los datos. Y digo "comando" por decir algo, ya que los términos, al menos en la versión en español, personalmente, me parecen demasiado sencillos..

Así pues, al twittear:

crear url todotwitter.blogspot.com/

... o cualquier otra url se cambiará la web que tengamos puesta en nuestro perfil. Eso sí, todo en minúsculas y no podemos incluir "http://" ya que entonces saldrá duplicado (http://http://todotwitter.blogspot.com/)

bug3


crear name minuevonombre

.. pudiendo sustituir "minuevonombre" por el nombre que tú desees. En éste caso "crear name" siempre en minúsculas, puedes utilizar mayúsculas para el nombre.

bug4


crear location micasa

... y en "micasa" pones la ubicación que desees. La anterior norma para mayúsculas y minúsculas sigue siendo aplicable en éste caso.

bug5


Todos estos "comandos" bien ejecutados harán que se cambie la información de tu perfil en Twitter. Si no los escribes bien, o no saldrán publicados o se publicarán tal cual lo escribas.

En Inglés los comando son similares:

set url twitter.com/TwittBoy
set name newname
set location home

¿Porqué nos parece peligroso?
..o cuanto menos preocupante?. Seguro que a éstas alturas ya habrás recurrido a consultar los Comandos de texto Oficiales de Twitter, y como verás, lo único que nos resulta conocido es SET LOCATION placename para cambiar, como hemos apuntado, la localización en el perfil, aunque parece ser válido también en mayúsculas... según Twitter.

El mayor peligro que hemos visto es precisamente algo que podría haber ocurrido con el post de @hernanmdq, y que tanto a él como a @aartiles24 y a mi mismo ha sido lo que más nos ha preocupado. Si observas el Timeline de @hernanmdq comprobarás que la entrada a la que me refiero no aparece twitteada por TwitterFeed, que es el sistema que utiliza para enviar automáticamente sus post a Twitter. En cualquier otro momento hubiéramos achacado el problema a twitterFeed, algo a lo que estamos acostumbrados, pero decidimos comprobarlo con esos usuarios de los que casi todos tenemos alguno, que tienen enlazado el feed de CodigoGeek a su cuenta de Twitter.
Efectivamente, en sus Timelines tampoco aparecía el tweet, tan sólo en alguno que de manera automática había incluido el hashtag #CodigoGeek antes del título del post.

Entonces...dónde está el peligro?

Imaginemos que publico una entrada titulada:
crear url todotwitter.blogspot.com/

Ésta, una vez twitteada automáticamante, quedaría en un tweet de la siguiente manera:
crear url todotwitter.blogspot.com/ http://bit.ly/2hgnoP


Y automáticamente cambiaría la url del perfil del usuario que intentase twittearla, enlazándola directamente a mi blog. Hay que tener en cuenta que la url debemos ponerla con / al final para que no quede cortada al agregarle la url corta de bit.ly, y si no nos lleva a la página principal de nuestro blog, al menos sí lo haga a una página de Error 404.. pero en definitiva, enlazará a nuestro dominio.

Cómo podemos afirmar ésto? bueno, quizás hemos probado algo, tal y como se desvela en algún tweet...

De la misma manera, si publicamos un post titulado crear name Pulpo Paul u otro titulado crear location En mi acuario, conseguiremos que muchos usuarios que intenten twittear dichos post se conviertan en el Pulpo Paul que está En su acuario...O_o

En los tres casos se trata de una grave vulnerabilidad de Twitter, ya que de manera involuntaria (o no) se podrían cambiar los datos del perfil de cientos de usuarios... imagínense el daño que haría un sitio tipo Mashable con la cantidad de usuarios que twittean sus entradas de manera automática, mientras duermen o hacen cualquier cosa que no sea estar pendientes a su cuenta de Twitter cuando está activa.
Ni que decir tiene que el problema puede ser aún más grave si tenemos en cuanta los botones para enviar un post a Twitter, que si nos son gestionados por Twetmeme o alguno similar que requiera Twitter Oauth para funcionar (y aún éstos) son html muy sencillo que se puede modificar fácilmente para que, mientras nosotros pensamos que enviamos "Los 10 mejores trucos de socialmedia de la historia", lo que estemos haciendo es cambiar alguno de los datos de nuestro perfil al antojo del dueño del sitio que visitemos.


En fin, en resúmen, que muchísimo ojo cada vez que twittees algo y no aparezca en tu timeline, comprueba siempre los datos de tu perfil por si hss caído en las garras de un "listillo" que se haya dado cuenta del bug y empiece a sacarle provecho. La solución es sencilla, entras a los datos de tu perfil y los vuelves a cambiar, pero repito... todos conocemos varias cuentas que funcionan sólo nutridas a base de feeds durante muchas horas al día...y pulsamos en botones de retweet en miles de sitios y blogs.


Quiero terminar este post dando las gracias a @hernanmdq y a @aartiles24 por dejar lo que estaban haciendo y ayudarme a desenmarañar este bug, han sido ellos quienes realmente han aportado la valentía y los conocimientos necesarios para poder hacer las pruebas y comprobaciones que fundamentan este post.
Por cierto @pizcos el otro día ya apuntaba alguna que otra curiosidad en Twitter.

Nota.-Ya hemos avisado a los usuarios que se han visto afectados por nuestras pruebas... somos buenos chicos...




Reina

Gracias por avisarnos!!! Estaré muy atenta (con lo despistada que soy casi siempre...) Siempre nos enseñas algo bueno e interesante.
:-)

13/7/10 10:38 p. m. Responder

Anónimo

Gracias...
Informaciòn completamente Interesante..
Por supuesto importante..

Saludos y por si quieren seguirme

@Luizocko

13/7/10 11:12 p. m. Responder

Boloo

Gran descubrimiento y sublime explicación.

Espero que no tarden mucho en solucionarlo, y habrá que estar atento a ver si alguien lo utiliza "maliciosamente"

13/7/10 11:25 p. m. Responder

Σ=o) Pau

Que peligroso pajarito! al igual que Reina como estoy trabajando soy algo despistada y nos puede quedar la crema... es idea mía o twitter se está poniendo suspicaz, queriendo pagar por seguidores y ahora los cambios de url y más en los tweets! ¬¬ menos mal que te tenemos a ti :D

besotes ronroneado mi pajarillo ^_^

13/7/10 11:33 p. m. Responder

Josue-181

Jajajaja lo acabo de probar y efectivamente funciona o.O`

Miedo deberia de darnos ojala lo reparen pronto!

Saludos y gracias por avisar.

14/7/10 12:48 a. m. Responder

Joan Izquierdo

Ostres !!! després del bug que es va descobrir per forçar que la gent et seguis, ara aquest. Això fa dubtar de la seguretat del twitter i tot em fa pensar que no serà l'últim. Gràcies per l'avís.

14/7/10 8:49 a. m. Responder

SpamLoco

Puede ser que ya no funciona? estuve probando con el de las URL y no me las cambió :(

14/7/10 8:57 a. m. Responder

@TwittBoy

Gracias a todos por los comentarios; por si alguno lo dudaba, por supuesto que se lo hemos notificado a Twitter; antes de publicar el post, mientras hacíamos las comprobaciones, y tras la publicación; tanto utilizando los cauces oficiales del soporte, como con DMs a @ayuda; incluso @aartiles ha publicado un post en inglés y lo ha twitteado con menciones a @twitter @jkalucki @rsarver @raffi y @abraham. Hasta el momento no hemos recibido ninguna respuesta.

@Spamloco lo acabo de comprobar y aún sigue funcionando... es posible que tengas configurada la cuenta de Twitter en Inglés? Si es así, el tweet sería: "set url twitter.com/TwittBoy " y siempre con minúsculas la parte de "set url" o en español "crear url". y claro la url sin el http://

14/7/10 10:17 a. m. Responder

Joost Scharrenberg

Efectivamente puedes cambiar url, nombre y localización con estos "short commands". Que buena oportunidad para enviar una campaña masiva de marketing en Twitter cambiando el nombre de miles de usuarios en algo así: "Me encanta Coca-Cola" ... o generar tráfico a una web cambiando la URL de miles de usuarios en Twitter en la de mi web ... gran trabajo de investigación Twittboy ... a ver si twitter reacciona ... te seguiremos leyendo! Abrazo

14/7/10 11:01 a. m. Responder

SpamLoco

Aps, era un tema de idioma :)

14/7/10 11:46 a. m. Responder

Anónimo

Gracias por avisarnos.
Saludos,
@perdidos69

14/7/10 12:30 p. m. Responder

@TwittBoy

Para aquellos que de manera anónima intentan publicar comentarios en los que nos insultan (como poco) diciendo que son "simples comandos de Twitter" y que deberíamos informarnos más, por favor les ruego que lean el post antes de opinar.
Esa posibilidad ya está mencionada, y si ven el enlace, en los comandos oficiales no aparecen por ninguna parte.
Es más en el caso de que Twitter adoptase de manera oficial dichos "comandos" en español, permítanme opinar que sería un grave error, ya que "crear" es un término demasiado utilizado en español como para convertirlo en comando.

Por cierto, publico todos aquellos comentarios, anónimos o no, en los que no se falte el respeto a mi o a algunos de los colaboradores de éste o cualquier otro post. Es lo que hay, a faltar el respeto a otro lado.

14/7/10 2:14 p. m. Responder

EdWheeler

Cabe resaltar que cuentas que usan APPs como GroupTweet que permite autotwittear los mensajes directos recibidos, también son afectadas por este bug.

Especialmente aquellas que configuran GroupTweet para que se publique el tweet 1ero el "mensaje" y luego el @nombre de quien lo envió.

Hice la prueba con una cuenta que usa GroupTweet y este fue el resultado http://ow.ly/2blcx

Saludos y gracias por avisar.

14/7/10 4:48 p. m. Responder

Marcos Hernández

No me parece un bug, sino un comando con una sintaxis muy específica y, de paso, bastante estricta como para confundirse con un tweet orgánico. Set es usado tanto o más en inglés que Crear en español.
A mi me parece una característica muy útil que debe usarse con tanto cuidado como cualquier otra de cualquier otro servicio

14/7/10 4:58 p. m. Responder

PaK0s

Pues a mi me parece un efecto mas de la ignorancia, de desarrolladores de las app q retuitean en automatico y no tenga un filtro para los comandos y de los usuarios de las mismas o los mismos usuarios que dan rettwit, y no lo consideraria un "bug" de seguridad twitter, mas bien algo que los usuarios deben de saber y no lo saben U.U, se supone que un DM no se debería de twittear, en cuanto al comando "crear" esta también en ingles el "set" es tan obvio y común, y creo que es adecuado ya que un comando debe de ser descriptivo de lo que hace ejemplo create database (crear baseDeDatos) en MySQL, es como el famosisimo virus gallego que no tiene nada de virus ni de "bug"

no se si esto este documentado en alguna parte de twitter que es donde posiblemente podría pecar twitter de no tener la documentación de estos comandos y por ello probocar ignorancia involutaria en los usuarios y desarrolladores cono los efectos que mencionan, si este fuera el caso creo que es una funcionalidad que planeaban implementar o en que sus inicios quicieron implementar y al final no se publico o que en un futuro seria publicada.. pero en fin.. creo que llamarle bug de seguridad es erroneo.

14/7/10 5:39 p. m. Responder

elcowboy

Evidentemente es un problema de seguridad severo y si bien alguien no puede considerarlo como un bug propiamente dicho del codigo del script, no deja de ser peligroso.
Gracias por avisar y por comunicarle a Twitter.

Hector Russo

14/7/10 6:01 p. m. Responder

@TwittBoy

Muy buena dato ese también, Eduardo, gracias por el apunte! ya leí tu entrada, muy bien también ;)

Marcos la característica puede que sea útil, no digo que no lo sea, siempre y cuando se avise en alguna parte antes de implementarlos y se haga de una manera correcta, algo que considero vital para este tipo de comandos.
Y repito, piensa lo que se podría hacer con el feed de un blog que tenga mucha gente que twittee las entradas automáticamente, o en el caso que comenta Eduardo en su post.

14/7/10 6:03 p. m. Responder

Guille

Me llego respuesta de Twitter, para ellos no es un bug sino una característica no documentada:


Thank you for pointing this out! The behavior you have witnessed is an undocumented command. It appears that users have the ability to set any part of their bio information using text commands. These commands allow users to update their profile using SMS. We will update our documentation to reflect these actions. Please let us know if you encounter further issues. Thanks!

19/7/10 11:10 p. m. Responder

Tu opinas

Bienvenid@ a TwittBoy.com.Muchas gracias por dejar tu comentario.Si quieres contribuir con alguna herramienta o iconos,tienes un formulario disponible en la barra superior derecha del blog.

Los comentarios están siendo moderados
Si esperas alguna respuesta, por favor no comentes de forma anónima.