quarta-feira, 13 de janeiro de 2010

Pirâmides e outros perigos no Twitter

--------------------------------------------------------------------

Muito se tem discutido no Twitter sobre os sites de “scripts de followers” relacionados ao Twitter. Legal ou ilegal? Crime ou não? Dados são capturados? Várias perguntas que eu e o Sandro Süffert resolvemos escrever o artigo conjunto abaixo. Comentem, critiquem etc.

-----------------------------------------------------------------------------

O twitter - ou simplesmente TT - é um serviço de micro-messaging muito simples e revolucionário. Por sua simplicidade ele é usado por mais gente que outros sites de redes sociais. Devido à sua simplicidade e à grande utilização, são centenas os sites que "complementam" as funcionalidades do twitter.

Alguns exemplos são:

A lista é muito extensa e os tipos de serviços são vários, e, obviamente, oferecem risco - especialmente aos utilizadores menos prevenidos e/ou afoitos por novos seguidores nesse "processo de interação social".

Um serviço que está na moda e que consideramos muito arriscado são as chamadas "pirâmides do twitter" (exemplos: www.trtools.com.br, tweetterfollow.com, twittertrain.info). Estes sites são procurados para aumentar o número de seguidores, os chamados "followers".

Sabemos que vários problemas de segurança (relacionados com XSS - Cross Site Scripting, CSRF - Cross Site Request Forgery e com o processo de recuperação de senhas) já ocorreram com o twitter, mas nestes casos de serviços de terceiros relacionados ao twitter o elo mais fraco é o usuário, que está ansioso por usar um novo serviço ligado ao twitter. Por isso, é importante mencionar: esses serviços oferecidos pelos sites mencionados e outros não são ilegais!

Se você se cadastra em qualquer site, como os de pirâmide de seguidores ou nos demais serviços existentes, e fornece seu usuário e senha para poder usufruir dele, seus dados já não são mais só seus.

A partir deste momento, o responsável pelo site pode: a) fazer se passar por você e enviar twitter-spam; b) se passar por você para seus seguidores via mensagens diretas (DM); c) conectar-se a perfis não autorizados e influenciar negativamente sua reputação no serviço, pois a sua conta será considerada maliciosa e reportada ao TT, que pode suspendê-la.

Por isso, uma sugestão importante é: quando acessar esses scripts sites (são referenciados assim no TT) e se cadastrar, leia antes os "Termos de Uso" e a "Política de Privacidade", isso quando existirem. Caso não possuam, desconfie e opte por não se cadastrar.

Mas, então como você pode utilizar este tipo de serviço sem correr este risco? Existem serviços que utilizam métodos mais seguros, como o OAuth (e sua versão 2, recém lançada). Ele permite que sites executem este mesmo tipo de interação com a sua conta do twitter, mas fazendo a autenticação do seu usuário diretamente no twitter. Os benefícios são vários.

Para mais detalhes, visite http://apiwiki.twitter.com/OAuth-FAQ. Uma dica prática, busque os serviços que você mais gosta de usar no site twitoauth - ele lista os sites auxiliares do twitter que já utilizam o OAuth.

Pode existir crime a má utilização dos dados cadastrais dos usuários desses scripts sites? Dependendo do caso específico, sim. Já se discutiu bastante a questão da violação de correspondência, mas sabe-se que sem a edição de um artigo penal específico referenciado a violação de correspondência eletrônica não há crime (veja opinião neste sentido e sobre o Projeto de Lei 1704/07).

Mas, então, qual crime? Como referimos, depende da situação específica, pois a forma de utilização ou de divulgação do conteúdo obtido por meio desse tipo de violação poderá constituir crime contra a honra, sem prejuízo da responsabilidade civil, violação de direitos autorais, falsidade ideológica (veja opinião a respeito, aqui e aqui) ou falsa identidade (veja opinião aqui).

O importante é que se você acha que foi vítima de algum crime virtual pelo TT, siga as instruções e registre o fato na delegacia de polícia mais próxima!

Outras dicas importantes sobre o uso da internet de forma segura você pode encontrar na excelente cartilha do cert.br. Aliás, você também pode reportar os incidentes de segurança relacionados ao CERT pelo e-mail abuse@cert.br.

Autores:

Emerson Wendt, Delegado de Polícia Civil do Rio Grande do Sul e responsável pelo Blog do Emerson Wendt;

Sandro Süffert, Consultor em Segurança e Forense Computacional e responsável pelo Blog SSegurança;

24 comentários:

José Márcio disse...

Tem gente que é useiro e vezeiro desse artifício chamado de script, realmente é a única forma (mesmo que condenável sobre vários aspectos) de se conseguir seguidores em larga escala.

Para se ter uma idéia estou no twitter a mais de 1 ano e tenho apenas 320 seguidores.

Não acho isso legal e não utilizaria em hipótese alguma, principalmente considerando os riscos inerentes a esta ação, como você bem relatou no post.

Tony Fontoura disse...

Não é crime. Se você fornece suas informações de login para alguém, você é responsável por isso. Os sites de scripts não estão violando a lei, no máximo violam os termos do Twitter, e os usuários que os utilizam podem ser banidos por isso.

Blog do Emerson disse...

Tony,

Acho que ficou claro que não é ilegal (não é crime), mas o mau uso das informações coletadas dos usuários pode sê-lo. Realmente, acredito que os usuários desses scripts sites poderiam ser delatados ao TT.
O jeito é, como o José Márcio, não usar!!
Obrigado pela contribuição.

Everton do N. Siqueira disse...

Convém ressaltar ainda que esses seguidores, que passam a te seguir usando sites como esses NÃO ESTÃO INTERESSADOS EM VOCÊ...Ou seja, enquanto um seguidor "normal" lê o que você escreve, crítica, elogia, da RT, etc...esses que te seguem por causa de script ficam o dia todo digitando apenas coisas do tipo "Me indica aí que eu indico também"....

Como já escrevi no meu blog (Pandemiadigital.blogspot.com) repito ....Aí você encontra perfis que seguem 4 ou 5 mil pessoas, e eu pergunto: SERÁ QUE ALGUÉM CONSEGUE LER TUDO? - Respondo definitivamente que NÃO!...e repito: EU NÃO ACREDITO EM NINGUÉM QUE SEGUE MAIS DE 500 PESSOAS!...O motivo é simples...no momento estou seguindo 140 pessoas e, quando fico umas 10 horas "desconectado" perco bastante coisa.....alguém que segue mil pessoas nunca vai conseguir ler tudo...
Infelizmente essa "Orkutanização do Twitter" está fazendo-o perder a credibilidade...Hoje, o Orkut é bloqueado em muitas empresas, devido a sua futilidade (a tal modinha do add, as fotinhas e os scraps com desenhos,etc)...O Twitter (por enquanto) está sendo usado para troca de informações (esse blog, por exx conheci pelo Twitter), divulgação d serviços (como ex, falo de mim, que divulgo meu serviço de musico por la), bater papo, manter contatos,etc...mas com sua fama, muitos "orkuteiros" estão começando a banalizar o serviço....por isso repito o que sempre digo : VOCÊ NÃO É OBRIGADO A SEGUIR DE VOLTA QUEM TE SEGUE...Caso não ache necessário ler as tuitadas da pessoa,ou de alguma foma ela não esteja de agradando ou te servindo para algo dê unfollow sem dó...

Blog do Emerson disse...

Everton,

Concordo com você. Não tenho orkut por causa da imensa quantidade de crimes por lá ... não sei até quando terei Twitter.

Abraço.

Scarlett Neves disse...

Um site que oferece um programa bem prático (eu o considero o melhor) é o http://www.tweetdeck.com/
Eu, pessoalmente, acho ridículo as pessoas que participam destes sites com o único objetivo de terem maior quantidade de followers. Acredito que followers tem de ser conquistados por mérito e não por sistemas. Eu não uso e não usaria estes sites. Mas para quem gosta apenas de quantidade, como diz no post acima: não é ilegal.

O Twitter é muito bom, apesar da "orkutização" dele com aquelas listas.

Emerson e Sandro,
O post está excelente.
Parabéns, adoro este Blog!!

Abraços,

Scarlett Neves

FABRICA DE BLOGS disse...

grade verdade - dei meu login e senha e o resultado foi

perdi duas contas do twitter

precisei tirar 2 blogs do ar

Arrumaram encrecas em meu nome por eu ter recebido twiites falso

não façam isso !!!
eu já tomei providencias - tirei o pé de cima das orelhas ...

Blog do Emerson disse...

Bom ...

Então temos um exemplo prático acima, do Fábrica de Blogs ... interessante para os demais leitores do blog.

Scarlett, mais uma vez com a importante participação. Que bom que tenhas essa visão a respeito dos scripts, principalmente para quem está começando no TT.

Abraço a todos.

Claudio M.O. Moura disse...

Caros Emerson e Sandro,

O post ficou ótimo e vocês podem até pensar em fazer uma espécie de “serie” sobre as várias ameaças principalmente as relacionadas com furto de identidades.

Como sempre as principais vítimas são os iniciantes e inexperientes, os ansiosos apressadinhos e, incrivelmente, os curiosos. E, “a curiosidade matou o gato”!

A grande dica deste post é a recomendação para uso do OAuth no caso do Twitter. (http://apiwiki.twitter.com/OAuth-FAQ). É realmente valiosa.

É importante lembrar que já existe casos que a própria negligência do usuário em não usar ou usar programas que previnam malwares etc. desatualisados pode eximir as entidades financeiras de culpa pelo uso inadequado das informações e “ativos financeiros” do mesmo.

Parabéns aos dois e um abraço,
@_cmom_

Srta.Lua disse...

olá td bem?
pode não ser um crime, mas estar indicando uma pessoa sem fazer uma análise de seu perfil pode ser arricado para a imagem do indicando!
na ânsia por conseguir seguidores, vc pode estar indicando um pedófilo um hacker..., pessoas de má fé! mas o twitter usado como meio saudável de comunicação, pode render bons frutos, contatos...

gostei bastante do conteúdo do seu blog!

forte Abraço Parabéns!

@srtalua

Felipe Juliano Todeschini disse...

Prezado Emerson;

Concordo com o seu artigo e tenho apenas uma dica para acrescentar nesse post.
No meu entendimento, se um usuário Brasileiro se cadastrar em um site estrangeiro, e este não tiver uma representação formal no Brasil (seja uma empresa jurídica constituída, ou outra empresa que pertença ao mesmo grupo econômico), não existe nenhuma garantias ao usuário de que ele conseguirá uma reparação de danos (morais e/ou materiais) em caso de má fé na utilização dos seus dados.
É importante que todo o usuário tenha esteja ciente disso antes de se cadastrar em qualquer site desconhecido.

Blog do Emerson disse...

Felipe,

Muito bem lembrada essa questão dos sites estrangeiros. A dificuldade é muito grande para que eles te atendam.
Valeu pela contribuição e lembrança.

Anônimo disse...

Acredito que o título indica que o problema é no twitter mas na verdade existe nos serviços que são oferecidos por terceiros de acesso direto aos dados do twitter, o que é bem diferente.

Ocorre na verdade uma multiplicação do risco ao se acessar de forma cruzada, ou autorizar o acesso de forma cruzada entre serviços de internet que solicitam seu usuário e senha para cadastro.

Neste ponto a internet não difere do mundo real onde - sempre - toda a atenção é necessária.

De qualquer modo a abordagem deste tema é importante.

Cordialmente,
Marcelo B.

Blog do Emerson disse...

Marcelo,

O cuidado sempre é bom, em qualquer ambiente. Concordo contigo!
Quanto ao título, serve como uma forma de chamar a atenção, para que o leitor veja o conteúdo e não apenas o título. É uma espécie de MV (marketing viral) entre o título e o texto. Ok?

Abraço e obrigado por contribuir.

Anônimo disse...

O problema é que muita gente se aproveita da fragilidade do sistema, e muitos querendo seguidores à qualquer custo clicam em todos os tipos de site que prometem os followers...
No início eu quase desistí do twitter por causa daqueles Quizz, que enchiam minhas DM´s e eu ficava extremamente irritada, mas depois fui fazendo uma 'faxina' e tirando os "usuários de scripts" de lá.
Vejo que tem muita porcaria no orkut e twitter, mas confesso que uso mais pra divulgar meus blogs mesmo...Infelizmente o mau-caráter está em todos os lugares, invadindo tudo!

Uso o twitter bem menos que antes, e às vezes até me divirto com alguns tweets, mas quando percebo que tem porcaria eu excluo rapidinho...

Um belo post, parabéns!

Andréa disse...

Sempre acompanhando seus posts e me prevenindo para não cair em nenhuma contravenção virtual disfarçada. Obrigada pelos esclarecimentos.

Robson M. disse...

Quando aquele Quizz que lotam as DM's. Hoje apareceu um outro site fazendo propaganda nas DM's.
Isso foi o cúmulo.

E quando aos sites de seguidores, eu já usei um sim, que foi o primeiro, mas depois parei por um tempo.

E hoje entrei lá e encontrei uma ferramenta para deletar esses SPAM em DM's.
Tanto quando aos dos QUIZZ e desse site que faz SPAM em DM.

Isso salvou meu tempo hoje, que não precisei deletar só essas mensagens.

O link acho que não vem ao caso, mas é só dar uma busca no twitter quem quiser.

Abs

Lucyana disse...

Me parece bastante ingênuo achar que um indivíduo que passou horas programando um script, gastou dinheiro hospedando-o queira fazer filantropia. Algo ele tem que ganhar com isto, seja em anúncios, seja em oferecer serviços enfim, boas ou más as intenções cabe a nós, usuários, avaliarmos.
Eu, na qualidade de profissional de TI posso dizer que, em relação aos scripts para adquirir seguidores 2 principios básicos devem ser seguidos:
1) Ler : leia os termos e condições, a política de privacidade e atente para as caixas "selecionadas" que indicam que você concorda com algo.
2) Senha: Não use nenhuma senha que você utiliza em outros serviços como e-mail, blog, orkut e após o uso, troque a senha do twitter.

No mais, desconfie de páginas com muitos erros, de sites que não têm dono ou que ele não se expõe e se a sua conta for hackeada, seja moderado em acusar este ou aquele, instaure um processo, faça um BO e deixe a polícia cuidar disto afinal, todos são inocentes até que se prove o contrário.

Blog do Emerson disse...

Pessoal,

Valeu pelos últimos comentários a este post. O que a Lucyana referiu é real e importante: não deixe de comunicar o fato à polícia se sua conta foi hackeada.

Obrigado pelos comentários. Abraços

jtissei disse...

Caso você fique tentado a usar algum site inconveniente integrado com o twitter, e depois ficou com uma dor de cabeça, então troque sua senha no twitter que a maioria dos problemas poderão ser eliminados. Isto se ainda não fizeram isto por você!!

Anônimo disse...

Meu amigo, vir aqui é sempre muito bom,sempre aprendo.Eu não curto muito esses sites até pq eu procuro selecionar quem entra no meu tt...agora então q vou ficar sempre mais atenta.É o q eu digo lá no tt, eu prefiro qualidade a quantidade.

CrisDu disse...

Bem, minha opinião é: A web assim como tudo que ela oferece deve ser vista com menos ingenuidade. "Você tudo pode, mas tudo lhe convém?". Tudo que a gente faz na web deve analisado melhor, aquela história: "Filho, não pegue carona com desconhecidos".
Na web existem armadilhas desde as mais simples às mais escondidas. Bora ficar atento sempre! Independente do nível de conhecimento nesta área!
Bom trabalho Emerson!
Boa sorte!

larissa disse...

Claro qe isso nao é crime !!

Blog do Emerson disse...

Larissa, tudo depende do contexto, pois se a finalidade é cooptar dados de usuários e com utilização posterior indevida, poderá configurar crime.