Brincando de deus: recurso do Twitter permite que engenheiros da empresa acessem qualquer conta

Mais uma polêmica para acrescentar à conta do Twitter nos últimos meses. Um ex-engenheiro da empresa afirmou ao The Washington Post que qualquer engenheiro da plataforma tem acesso a um sistema que permite tuitar em literalmente qualquer conta disponível na rede.

O recurso é conhecido internamente como “GodMode”, ou “ModoDeus”, em tradução livre. E, como você pode imaginar pelo nome, ele permite aos usuários com esse acesso privilegiado atuarem como “root” — termo de tecnologia designado aos administradores de sistema com controle total.

Ou seja, além de publicar em nome de outras pessoas, as pessoas com acesso ao GodMode também podem excluir e restaurar posts. Isso coloca em xeque, mais uma vez, a segurança da rede e viola a privacidade de usuários — algo que, aliás, já tinha sido alvo de outra reclamação feita no ano passado por um ex-funcionário da empresa e de uma terceira reclamação do antigo chefe de segurança, Peiter Zatko, que chegou a entrar com uma denúncia formal à Comissão Federal de Comércio dos EUA (Federal Trade Commission, ou FTC).

Imagem: Reprodução- JJenkins Photogtaphy/Twitter/DeviantART

Twitter e os problemas de segurança

A crise relativa às questão de segurança dentro do Twitter são antigas e começaram a ganhar força em 2020, depois de adolescentes terem invadido os sistemas internos da empresa e assumido o controle de contas como do presidente Joe Biden, Barack Obama, do atual CEO da empresa (que na época era apenas um usuário) Elon Musk e outros.

Após o incidente, a empresa se comprometeu com a criação de um “programa abrangente de segurança da informação que é razoavelmente projetado para proteger a segurança, privacidade, confidencialidade e integridade das informações não públicas do consumidor”.

O novo denunciante afirma que “a existência do ‘GodMode’ é mais um exemplo de que as declarações públicas do Twitter para usuários e investidores eram falsas e/ou enganosas” e que acredita que “as evidências nesta divulgação demonstram violações legais do Twitter”.

Na reclamação, foram anexadas capturas de tela as quais mostram que o problema de segurança ainda persiste. Além disso, a gravidade da permissão permanece alta, visto que qualquer engenheiro que queira ainda possui acesso ao recurso disponibilizado no computador de funcionários, além de poder ser habilitado de maneira bastante simples: basta mudar uma palavra na linha de código para habilitar o acesso total.

Ainda de acordo com a reclamação, a única advertência que apareceria para alertar os usuários a pensar duas vezes antes de acionar o recurso é uma mensagem onde pode-se ler “PENSE BEM ANTES DE FAZER ISSO”.

Vale dizer que o The Washington Post afirma que o novo denunciante deu entrevista ao jornal sob condição de anonimato, porque outros ex-funcionários teriam sido ameaçados e assediados.

A reclamação suporta às denúncias feitas por Zatko as quais rebatiam alegações públicas de executivos do Twitter que, à época, afirmaram que as ferramentas poderosas citadas pelo ex-chefe de segurança tinham acesso restrito.

Antes da aquisição de Musk, o Washington Post lembra, ainda, que o Twitter afirmou ter aprimorado a segurança da plataforma após a saída de Zatko. Ainda ao jornal, ex-funcionários da área de segurança que deixaram recentemente a empresa afirmaram, em entrevistas ao Post, que a situação piorou com a chegada de Musk.

Via: The Washington Post