Por um tempo ontem, um bug no Twitter deixava qualquer um forçar qualquer pessoa a seguir suas contas. Era um truque hilariamente simples, e igualmente bizarro, de deixar a Twittess de queixo caído. Melhor ainda? Este bug foi descoberto por acidente, por um usuário turco do Twitter. Foi isso o que aconteceu:

A dica inicial foi para o Gizmodo americano via outro usuário turco do Twitter, chamado Güntekin. A primeira mensagem dele para a gente parecia, francamente, ridícula: 

Um cara turco chamado Bora Kirca descobriu acidentalmente que se você tuitar "accept nomedousuário", por exemplo billgates, então o Bill Gates iria seguir você. É muito estúpido, mas é verdade.

Estúpido mas, sim, verdade. Funcionou. O Gizmodo americano postou isso. O Twitter enlouqueceu, o número de seguidores (e seguidos!) de todo mundo caiu para zero, e a conta do Twitter do Bora foi suspensa. Mas como ele descobriu isso?

Por acidente? Ah, é mesmo? Güntekin explica:

[Bora] gosta de uma banda chamada "Accept" e para mostrar que gosta, ele tuitou "accept pwnz"; mas em vez de ver o tweet, ele viu que o usuário "pwnz" o estava seguindo.

Ele contou para a namorada, e juntos eles começaram a fazer o que qualquer pessoa teria feito: eles fizeram famosos os seguirem. Então eles postaram sobre isso neste site aqui (NSFW), em turco. Dentro de algumas horas, isto estava acontecendo:

Se disser que estou seguindo mais de uma pessoa, eu fui hackeado. Eu sou um tuitador completamente monógamo – eu sigo apenas Sarah Killen.

Tuitadores proeminentes estavam sendo, uhm, "hackeados". Então, através do Güntekin e de pessoas como ele, o bug foi descoberto pelo Ocidente.

o twitter está sendo hackeado por um hacker turco. haha eu tenho 0 seguidores.

Como é que é?

Certo, então obviamente foi assim que o bug foi encontrado, mas por que ele estava lá, afinal? Era tão claro e simples – digite "accept nomedousuário" e você ganha um novo seguidor – que sua existência era difícil de acreditar. Por que digitar um comando assim faria alguma coisa, quanto mais rasgar um buraco na delicada infraestrutura do Twitter?

Comandos de texto existem no Twitter desde o começo, e muitos ainda funcionam. Digite "STATS" e você receberá o número de seguidores e seguidos que você tem; digite "FOLLOW nomedousuário" e você irá segui-lo; digite "RT nomedousuário" e você retuita a última mensagem do usuário. Tudo isto está documentado.

O que não está documentado é o comando ACCEPT, que fez este truque funcionar. Mesmo assim, ele obviamente existe. O leitor Rhainor explica o que ele faz:

Ele era para ser usado por pessoas que protegem seus tweets. Se você tentar seguir alguém que deixou os tweets privados, em vez de segui-los instantaneamente, ele envia um pedido ao usuário ("nomedousuário" quer seguir você). Para permitir que ele siga você, você aceita o pedido — na minha experiência, clicando um botão, mas para as pessoas que raramente o usam, o comando via texto faz sentido.

A resposta do Twitter

Por enquanto, o Twitter não pode fazer muita coisa além de esperar: esperar os engenheiros deles limparem a bagunça, e descobrirem exatamente o que aconteceu, e como evitar isso. Nós entramos em contato, mas nos falaram que eles estavam "investigando" nossas perguntas, e isso é compreensível. A repsosta oficial deles é escrita como um relatório de bug:

Nós identificamos e resolvemos um bug que permitia a um usuário "forçar" outros usuários a segui-los. Nós estamos trabalhando agora para desfazer todo abuso do bug que ocorreu. Os números de seguidores e seguidos estão agora em zero; nós sabemos disso e isso logo será resolvido.

Parece óbvio que este bug estava aí faz um tempo, e era questão de tempo até que alguém o descobrisse. Também parece óbvio que o Twitter deveria ter notado o bug antes de liberar a função "ACCEPT" no site principal.

Por horas, milhares de pessoas conseguiram obter controle das contas no Twitter de outras pessoas com um truque tão fácil que até mesmo o cara mais noob conseguiria fazer. E eu acho que, por algum tempo antes de se tornar público, o bug fez pessoas como o Bora adicionar seguidores sem querer e sem saber. O Twitter foi exposto. Várias contas poderiam – e foram – de fato hackeadas: alguém agiu em nosso nome, com nossas identidades públicas do Twitter, sem nossas senhas.

No fim, o Twitter vai arrumar isso tudo, e eles vão limpar nossa lista de seguidos (ou nós vamos). Mas a preocupação permanece: e se isso fosse um pouco pior? E se um comando desse acesso a outras contas do Twitter além de forçar um follow? O que aconteceu foi uma inconveniência; o que poderia ter acontecido seria um desastre.

Ah, e este é um vídeo da banda Accept, que o Bora queria mostrar que gosta:

E foi assim que uma banda alemã de heavy metal destruiu o Twitter, mais ou menos.