Che cos’è successo ieri a Twitter

Bill Gates, Barack Obama, Ugo Chavez e Stephen Colbert si sono iscritti al profilo Twitter di decine di utenti, ma a loro insaputa. Un malfunzionamento ha causato nella giornata di ieri numerosi grattacapi per i responsabili del social network: il bug consentiva di forzare l’iscrizione degli altri utenti al proprio profilo. La procedura da seguire era molto semplice e intuitiva ed è stata utilizzata da un cospicuo numero di utenti prima di essere risolta da Twitter.

Stando alla ricostruzione di Gizmodo, Bora Kirca, un ragazzo turco iscritto al social network, sarebbe stato tra i primi a scoprire il malfunzionamento:

Un ragazzo turco di nome Bora Kirca ha scoperto per caso che se si invia un tweet “accept nome-utente”, per esempio billgates, allora billgates diventerà iscritto al tuo profilo. Sembra una stupidaggine, ma è vero.

Niente codici strani da inserire, nessun particolare sito web da visitare o finto account da attivare. Per sfruttare il bug era sufficiente la banale e scontata parola “accept” seguita dal nome dell’utente da far iscrivere a forza al proprio profilo. Ma i segreti che ci si trova sotto al naso sono spesso i più difficili da capire, dunque come ha fatto il ragazzo turco a scoprire il banale trucchetto?

A Bora piace un gruppo che si chiama “Accept” e, per mostrare il proprio gradimento, ha deciso di comporre il messaggio “accept pwnz”, ma invece di veder comparire il proprio tweet ha notato che nell’elenco delle persone che lo seguivano era comparso un tale “pwnz”.

Grazie alla segnalazione di Gizmodo e di altri siti di informazione online, la voce si è sparsa rapidamente in Rete, spingendo Twitter a sospendere il conto delle persone iscritte ai profili e a bloccare per sicurezza l’account di Bora. La frittata era, però, fatta e per alcune ore i responsabili del social network hanno assistito a strani giri di iscrizioni sospette ai profili degli utenti. Il problema è stato poi risolto rimuovendo “accept” dalla lista dei comandi testuali supportati da Twitter.

I comandi testuali fanno parte di Twitter dalle sue origini, e molti funzionano ancora. Digita “STATS” e otterrai le statistiche dei tuoi numeri su Twitter; digita “FOLLOW USERNAME” e potrai seguire l’utente indicato; manda un tweet con “RT USERNAME” e potrai condividere l’ultimo messaggio inviato dall’utente indicato. È tutto documentato. Ciò che non è documentato è il commando ACCEPT, ciò che ha reso possibile il giochetto.

Al momento non appare chiaro come mai vi fosse un comando così semplice e accessibile per forzare l’iscrizione di qualcuno al proprio profilo. Un’ipotesi è che il comando fosse stato concepito per i profili protetti: «Quando provi a seguire qualcuno col profilo protetto, invece di consentirti di seguirlo immediatamente, il sistema invia una richiesta all’utente (“il dato username ha chiesto di poterti seguire”). Per consentire all’utente di seguirti, devi “accettare” la richiesta». La procedura può essere realizzata semplicemente cliccando un pulsante, ma alcuni preferiscono usare un comando testuale.

Il bug era probabilmente disponibile da tempo su Twitter, ma fino a ora non erano giunte segnalazioni tali da far scoppiare il caso. Qualcosa di analogo era accaduto alcuni giorni fa anche su Facebook: un malfunzionamento nella pagina delle impostazioni della privacy permetteva agli utenti di visualizzare le informazioni riservate dei propri amici e consentiva di forzare l’iscrizione a nuovi profili. Una gioia per gli impiccioni 2.0.