Alguns usuários do Twitter receberam um alerta, na sexta-feira, avisando que um bug “pode ter” permitido que suas mensagens diretas e tweets protegidos tenham sido vistos por desenvolvedores que não tinham esta autorização. Mas as condições necessárias para isso acontecer parecem tão forçadas que é improvável que algum usuário tenha sido de fato afetado.

• O Twitter vai voltar a mostrar tuítes em ordem cronológica, e espere para ver como isso vai ser legal
• Parece que o Twitter suspendeu 58 milhões de contas em três meses

Há a possibilidade de o bug, que foi introduzido em maio de 2017, tenha impactado usuários que interagiram com empresas via Twitter — qualquer um que tenha trocado mensagens com um serviço de atendimento ao consumidor.

Especificamente, o bug afetava desenvolvedores com acesso a Account Activity API (AAAPI), uma interface usada por desenvolvedores de nível premium e enterprise, que garante acesso a um grande leque de atividades em tempo real. Entre elas, estão as opções de criar apps de terceiros que podem seguir, silenciar ou bloquear usuários, assim como enviar e receber mensagens diretas.

Um uso típico da AAAPI seria criar ferramentas que permitem que agentes de atendimento ao consumidor interajam com usuários quando eles reclamam na rede social sobre um produto ou uma marca. Escreva um Tweet dizendo que você está tendo problemas com um produto da Adobe, por exemplo, e você provavelmente vai receber uma resposta do serviço de atendimento. Se suas DMs estão abertas ou se você segue a conta da empresa, é possível até mesmo receber uma mensagem direta.

Mas, ao contrário do que a maioria dos usuários pessoais fazem, os funcionários das marcas provavelmente não estão usando o site ou o app oficial do Twitter. Em vez disso, eles provavelmente usam uma interface especial, criada e vendida por um desenvolvedor independente. Pode, inclusive, ser apenas um chatbot, outro uso comum da AAAPI por desenvolvedores.

No que diz respeito ao bug, algumas trocas privadas entre usuários e empresas podem ter sido compartilhadas com as pessoas erradas, isto é, outros desenvolvedores da AAAPI. Usuários com contas protegidas que interagiram com marcas também podem ter tido seus Tweets repassados ao desenvolvedor errado.

Para qualquer uma dessas alternativas ocorrer, entretanto, é necessária uma “série de circunstâncias técnicas complexas”, diz o Twitter, e elas precisariam ocorrer simultaneamente. As condições descritas pela empresas tornam a probabilidade de isso acontecer bastante inacreditáveis.

Primeiro, o bug precisa que tanto o recipiente autorizado quanto o não autorizado tenham assinaturas de AAAPI para domínios ligados ao mesmo IP público. Só aí, isso já limita de maneira bastante significativa o número de agentes que poderiam ter acesso não autorizado. Uma maneira para isso acontecer seria se uma empresa tivesse múltiplos desenvolvedores inscritos na mesma API para, por exemplo, trabalhar em diferentes produtos.

O segundo ponto é que os domínios teriam que compartilhar os caminhos de URL — a parte da URL que vem depois do .com ou do .org, outro critério que limita consideravelmente o número de desenvolvedores possivelmente afetados.

Os dois desenvolvedores teriam que estar usando ativamente a AAAPI no mesmo período de seis minutos — a mais rara das condições descritas. Um chatbot que trabalha para grandes empresas, como Comcast ou McDonalds, provavelmente responde centenas, até mesmo milhares, de usuários do Twitter reclamando a cada dia.

Ah, e por último, a atividade gerada pelos dois desenvolvedores precisaria ter origem no mesmo servidor backend no data center do Twitter.

Ainda não está claro se o Twitter sabe quais desenvolvedores, ou quantos deles, puderam, por mera coincidência, se encaixar nesse complexo conjunto de critérios. A rede apenas disse que menos de 1% dos usuários podem ter sido impactados. Claro, isso abre a possibilidade de que milhões de usuários podem ter sido afetados. No entanto, parece muito improvável, dadas as condições descritas acima.

É importante notar que, se desenvolvedores receberam informações que não deveriam, eles ainda estão atrelados ao acordo de desenvolvedores, com as mesmas restrições de privacidade e segurança a que sempre estiveram sujeitos.

O Twitter não respondeu imediatamente nossas perguntas adicionais sobre o bug, mas atualizaremos este post caso eles façam isso.

Imagem do topo: AP