Pular para o conteúdo principal

Pirâmides e outros perigos no Twitter

--------------------------------------------------------------------

Muito se tem discutido no Twitter sobre os sites de “scripts de followers” relacionados ao Twitter. Legal ou ilegal? Crime ou não? Dados são capturados? Várias perguntas que eu e o Sandro Süffert resolvemos escrever o artigo conjunto abaixo. Comentem, critiquem etc.

-----------------------------------------------------------------------------

O twitter - ou simplesmente TT - é um serviço de micro-messaging muito simples e revolucionário. Por sua simplicidade ele é usado por mais gente que outros sites de redes sociais. Devido à sua simplicidade e à grande utilização, são centenas os sites que "complementam" as funcionalidades do twitter.

Alguns exemplos são:

A lista é muito extensa e os tipos de serviços são vários, e, obviamente, oferecem risco - especialmente aos utilizadores menos prevenidos e/ou afoitos por novos seguidores nesse "processo de interação social".

Um serviço que está na moda e que consideramos muito arriscado são as chamadas "pirâmides do twitter" (exemplos: www.trtools.com.br, tweetterfollow.com, twittertrain.info). Estes sites são procurados para aumentar o número de seguidores, os chamados "followers".

Sabemos que vários problemas de segurança (relacionados com XSS - Cross Site Scripting, CSRF - Cross Site Request Forgery e com o processo de recuperação de senhas) já ocorreram com o twitter, mas nestes casos de serviços de terceiros relacionados ao twitter o elo mais fraco é o usuário, que está ansioso por usar um novo serviço ligado ao twitter. Por isso, é importante mencionar: esses serviços oferecidos pelos sites mencionados e outros não são ilegais!

Se você se cadastra em qualquer site, como os de pirâmide de seguidores ou nos demais serviços existentes, e fornece seu usuário e senha para poder usufruir dele, seus dados já não são mais só seus.

A partir deste momento, o responsável pelo site pode: a) fazer se passar por você e enviar twitter-spam; b) se passar por você para seus seguidores via mensagens diretas (DM); c) conectar-se a perfis não autorizados e influenciar negativamente sua reputação no serviço, pois a sua conta será considerada maliciosa e reportada ao TT, que pode suspendê-la.

Por isso, uma sugestão importante é: quando acessar esses scripts sites (são referenciados assim no TT) e se cadastrar, leia antes os "Termos de Uso" e a "Política de Privacidade", isso quando existirem. Caso não possuam, desconfie e opte por não se cadastrar.

Mas, então como você pode utilizar este tipo de serviço sem correr este risco? Existem serviços que utilizam métodos mais seguros, como o OAuth (e sua versão 2, recém lançada). Ele permite que sites executem este mesmo tipo de interação com a sua conta do twitter, mas fazendo a autenticação do seu usuário diretamente no twitter. Os benefícios são vários.

Para mais detalhes, visite http://apiwiki.twitter.com/OAuth-FAQ. Uma dica prática, busque os serviços que você mais gosta de usar no site twitoauth - ele lista os sites auxiliares do twitter que já utilizam o OAuth.

Pode existir crime a má utilização dos dados cadastrais dos usuários desses scripts sites? Dependendo do caso específico, sim. Já se discutiu bastante a questão da violação de correspondência, mas sabe-se que sem a edição de um artigo penal específico referenciado a violação de correspondência eletrônica não há crime (veja opinião neste sentido e sobre o Projeto de Lei 1704/07).

Mas, então, qual crime? Como referimos, depende da situação específica, pois a forma de utilização ou de divulgação do conteúdo obtido por meio desse tipo de violação poderá constituir crime contra a honra, sem prejuízo da responsabilidade civil, violação de direitos autorais, falsidade ideológica (veja opinião a respeito, aqui e aqui) ou falsa identidade (veja opinião aqui).

O importante é que se você acha que foi vítima de algum crime virtual pelo TT, siga as instruções e registre o fato na delegacia de polícia mais próxima!

Outras dicas importantes sobre o uso da internet de forma segura você pode encontrar na excelente cartilha do cert.br. Aliás, você também pode reportar os incidentes de segurança relacionados ao CERT pelo e-mail abuse@cert.br.

Autores:

Emerson Wendt, Delegado de Polícia Civil do Rio Grande do Sul e responsável pelo Blog do Emerson Wendt;

Sandro Süffert, Consultor em Segurança e Forense Computacional e responsável pelo Blog SSegurança;

Comentários

José Márcio disse…
Tem gente que é useiro e vezeiro desse artifício chamado de script, realmente é a única forma (mesmo que condenável sobre vários aspectos) de se conseguir seguidores em larga escala.

Para se ter uma idéia estou no twitter a mais de 1 ano e tenho apenas 320 seguidores.

Não acho isso legal e não utilizaria em hipótese alguma, principalmente considerando os riscos inerentes a esta ação, como você bem relatou no post.
Tony Fontoura disse…
Não é crime. Se você fornece suas informações de login para alguém, você é responsável por isso. Os sites de scripts não estão violando a lei, no máximo violam os termos do Twitter, e os usuários que os utilizam podem ser banidos por isso.
emersonwendt disse…
Tony,

Acho que ficou claro que não é ilegal (não é crime), mas o mau uso das informações coletadas dos usuários pode sê-lo. Realmente, acredito que os usuários desses scripts sites poderiam ser delatados ao TT.
O jeito é, como o José Márcio, não usar!!
Obrigado pela contribuição.
Everton Siqueira disse…
Convém ressaltar ainda que esses seguidores, que passam a te seguir usando sites como esses NÃO ESTÃO INTERESSADOS EM VOCÊ...Ou seja, enquanto um seguidor "normal" lê o que você escreve, crítica, elogia, da RT, etc...esses que te seguem por causa de script ficam o dia todo digitando apenas coisas do tipo "Me indica aí que eu indico também"....

Como já escrevi no meu blog (Pandemiadigital.blogspot.com) repito ....Aí você encontra perfis que seguem 4 ou 5 mil pessoas, e eu pergunto: SERÁ QUE ALGUÉM CONSEGUE LER TUDO? - Respondo definitivamente que NÃO!...e repito: EU NÃO ACREDITO EM NINGUÉM QUE SEGUE MAIS DE 500 PESSOAS!...O motivo é simples...no momento estou seguindo 140 pessoas e, quando fico umas 10 horas "desconectado" perco bastante coisa.....alguém que segue mil pessoas nunca vai conseguir ler tudo...
Infelizmente essa "Orkutanização do Twitter" está fazendo-o perder a credibilidade...Hoje, o Orkut é bloqueado em muitas empresas, devido a sua futilidade (a tal modinha do add, as fotinhas e os scraps com desenhos,etc)...O Twitter (por enquanto) está sendo usado para troca de informações (esse blog, por exx conheci pelo Twitter), divulgação d serviços (como ex, falo de mim, que divulgo meu serviço de musico por la), bater papo, manter contatos,etc...mas com sua fama, muitos "orkuteiros" estão começando a banalizar o serviço....por isso repito o que sempre digo : VOCÊ NÃO É OBRIGADO A SEGUIR DE VOLTA QUEM TE SEGUE...Caso não ache necessário ler as tuitadas da pessoa,ou de alguma foma ela não esteja de agradando ou te servindo para algo dê unfollow sem dó...
emersonwendt disse…
Everton,

Concordo com você. Não tenho orkut por causa da imensa quantidade de crimes por lá ... não sei até quando terei Twitter.

Abraço.
Scarlett Neves disse…
Um site que oferece um programa bem prático (eu o considero o melhor) é o http://www.tweetdeck.com/
Eu, pessoalmente, acho ridículo as pessoas que participam destes sites com o único objetivo de terem maior quantidade de followers. Acredito que followers tem de ser conquistados por mérito e não por sistemas. Eu não uso e não usaria estes sites. Mas para quem gosta apenas de quantidade, como diz no post acima: não é ilegal.

O Twitter é muito bom, apesar da "orkutização" dele com aquelas listas.

Emerson e Sandro,
O post está excelente.
Parabéns, adoro este Blog!!

Abraços,

Scarlett Neves
grade verdade - dei meu login e senha e o resultado foi

perdi duas contas do twitter

precisei tirar 2 blogs do ar

Arrumaram encrecas em meu nome por eu ter recebido twiites falso

não façam isso !!!
eu já tomei providencias - tirei o pé de cima das orelhas ...
emersonwendt disse…
Bom ...

Então temos um exemplo prático acima, do Fábrica de Blogs ... interessante para os demais leitores do blog.

Scarlett, mais uma vez com a importante participação. Que bom que tenhas essa visão a respeito dos scripts, principalmente para quem está começando no TT.

Abraço a todos.
Caros Emerson e Sandro,

O post ficou ótimo e vocês podem até pensar em fazer uma espécie de “serie” sobre as várias ameaças principalmente as relacionadas com furto de identidades.

Como sempre as principais vítimas são os iniciantes e inexperientes, os ansiosos apressadinhos e, incrivelmente, os curiosos. E, “a curiosidade matou o gato”!

A grande dica deste post é a recomendação para uso do OAuth no caso do Twitter. (http://apiwiki.twitter.com/OAuth-FAQ). É realmente valiosa.

É importante lembrar que já existe casos que a própria negligência do usuário em não usar ou usar programas que previnam malwares etc. desatualisados pode eximir as entidades financeiras de culpa pelo uso inadequado das informações e “ativos financeiros” do mesmo.

Parabéns aos dois e um abraço,
@_cmom_
Unknown disse…
olá td bem?
pode não ser um crime, mas estar indicando uma pessoa sem fazer uma análise de seu perfil pode ser arricado para a imagem do indicando!
na ânsia por conseguir seguidores, vc pode estar indicando um pedófilo um hacker..., pessoas de má fé! mas o twitter usado como meio saudável de comunicação, pode render bons frutos, contatos...

gostei bastante do conteúdo do seu blog!

forte Abraço Parabéns!

@srtalua
Prezado Emerson;

Concordo com o seu artigo e tenho apenas uma dica para acrescentar nesse post.
No meu entendimento, se um usuário Brasileiro se cadastrar em um site estrangeiro, e este não tiver uma representação formal no Brasil (seja uma empresa jurídica constituída, ou outra empresa que pertença ao mesmo grupo econômico), não existe nenhuma garantias ao usuário de que ele conseguirá uma reparação de danos (morais e/ou materiais) em caso de má fé na utilização dos seus dados.
É importante que todo o usuário tenha esteja ciente disso antes de se cadastrar em qualquer site desconhecido.
emersonwendt disse…
Felipe,

Muito bem lembrada essa questão dos sites estrangeiros. A dificuldade é muito grande para que eles te atendam.
Valeu pela contribuição e lembrança.
Anônimo disse…
Acredito que o título indica que o problema é no twitter mas na verdade existe nos serviços que são oferecidos por terceiros de acesso direto aos dados do twitter, o que é bem diferente.

Ocorre na verdade uma multiplicação do risco ao se acessar de forma cruzada, ou autorizar o acesso de forma cruzada entre serviços de internet que solicitam seu usuário e senha para cadastro.

Neste ponto a internet não difere do mundo real onde - sempre - toda a atenção é necessária.

De qualquer modo a abordagem deste tema é importante.

Cordialmente,
Marcelo B.
emersonwendt disse…
Marcelo,

O cuidado sempre é bom, em qualquer ambiente. Concordo contigo!
Quanto ao título, serve como uma forma de chamar a atenção, para que o leitor veja o conteúdo e não apenas o título. É uma espécie de MV (marketing viral) entre o título e o texto. Ok?

Abraço e obrigado por contribuir.
Anônimo disse…
O problema é que muita gente se aproveita da fragilidade do sistema, e muitos querendo seguidores à qualquer custo clicam em todos os tipos de site que prometem os followers...
No início eu quase desistí do twitter por causa daqueles Quizz, que enchiam minhas DM´s e eu ficava extremamente irritada, mas depois fui fazendo uma 'faxina' e tirando os "usuários de scripts" de lá.
Vejo que tem muita porcaria no orkut e twitter, mas confesso que uso mais pra divulgar meus blogs mesmo...Infelizmente o mau-caráter está em todos os lugares, invadindo tudo!

Uso o twitter bem menos que antes, e às vezes até me divirto com alguns tweets, mas quando percebo que tem porcaria eu excluo rapidinho...

Um belo post, parabéns!
Andréa disse…
Sempre acompanhando seus posts e me prevenindo para não cair em nenhuma contravenção virtual disfarçada. Obrigada pelos esclarecimentos.
Robson M. disse…
Quando aquele Quizz que lotam as DM's. Hoje apareceu um outro site fazendo propaganda nas DM's.
Isso foi o cúmulo.

E quando aos sites de seguidores, eu já usei um sim, que foi o primeiro, mas depois parei por um tempo.

E hoje entrei lá e encontrei uma ferramenta para deletar esses SPAM em DM's.
Tanto quando aos dos QUIZZ e desse site que faz SPAM em DM.

Isso salvou meu tempo hoje, que não precisei deletar só essas mensagens.

O link acho que não vem ao caso, mas é só dar uma busca no twitter quem quiser.

Abs
Lucyana disse…
Me parece bastante ingênuo achar que um indivíduo que passou horas programando um script, gastou dinheiro hospedando-o queira fazer filantropia. Algo ele tem que ganhar com isto, seja em anúncios, seja em oferecer serviços enfim, boas ou más as intenções cabe a nós, usuários, avaliarmos.
Eu, na qualidade de profissional de TI posso dizer que, em relação aos scripts para adquirir seguidores 2 principios básicos devem ser seguidos:
1) Ler : leia os termos e condições, a política de privacidade e atente para as caixas "selecionadas" que indicam que você concorda com algo.
2) Senha: Não use nenhuma senha que você utiliza em outros serviços como e-mail, blog, orkut e após o uso, troque a senha do twitter.

No mais, desconfie de páginas com muitos erros, de sites que não têm dono ou que ele não se expõe e se a sua conta for hackeada, seja moderado em acusar este ou aquele, instaure um processo, faça um BO e deixe a polícia cuidar disto afinal, todos são inocentes até que se prove o contrário.
emersonwendt disse…
Pessoal,

Valeu pelos últimos comentários a este post. O que a Lucyana referiu é real e importante: não deixe de comunicar o fato à polícia se sua conta foi hackeada.

Obrigado pelos comentários. Abraços
@doadordeorgaos disse…
Caso você fique tentado a usar algum site inconveniente integrado com o twitter, e depois ficou com uma dor de cabeça, então troque sua senha no twitter que a maioria dos problemas poderão ser eliminados. Isto se ainda não fizeram isto por você!!
Anônimo disse…
Meu amigo, vir aqui é sempre muito bom,sempre aprendo.Eu não curto muito esses sites até pq eu procuro selecionar quem entra no meu tt...agora então q vou ficar sempre mais atenta.É o q eu digo lá no tt, eu prefiro qualidade a quantidade.
Maísa Duarte disse…
Bem, minha opinião é: A web assim como tudo que ela oferece deve ser vista com menos ingenuidade. "Você tudo pode, mas tudo lhe convém?". Tudo que a gente faz na web deve analisado melhor, aquela história: "Filho, não pegue carona com desconhecidos".
Na web existem armadilhas desde as mais simples às mais escondidas. Bora ficar atento sempre! Independente do nível de conhecimento nesta área!
Bom trabalho Emerson!
Boa sorte!
Unknown disse…
Claro qe isso nao é crime !!
emersonwendt disse…
Larissa, tudo depende do contexto, pois se a finalidade é cooptar dados de usuários e com utilização posterior indevida, poderá configurar crime.

Postagens mais visitadas deste blog

Facebook: endereço de envio de intimações e/ou ordens judiciais

Achei interessante atualizar (fev/2018) esse post de outubro de 2011, visando deixar a informação mais correta e atualizada em relação aos procedimentos no Facebook:
Várias pessoas me perguntam(vam) sobre o endereço do Facebook, que anunciou, em 2011, abrir um escritório no Brasil.
Todo o procedimento de tratamento está explicado no nosso livro, escrito com o Dr. Higor Jorge: Crimes Cibernéticos - Ameaças e Procedimentos de Investigação. Veja como adquirir o livro: Como adquirir os livros? O resultado da pesquisa do registro do domínio nos remete a um escritório de registro de propriedade intelectual, porém, o escritório para envio de ordens judiciais e/ou intimações, além de requerimentos, é o seguinte: FACEBOOK SERVICOS ONLINE DO BRASIL LTDARua Leopoldo Couto de Magalhães Júnior, 700, 5º Andar, Bairro Itaim Bibi, São Paulo-SP, CEP 04542-000
- Fonte: Jucesp Online Não sabíamos como seria o tratamento das informações e respostas às solicitações das chamadas forças da lei (law enforcemen…

Recomendações a pais, professores e escolas quanto às ameaças de atentado

Pós fato Suzano/SP, o alvoroço nas mídias sociais foi muito grande. Em alguns Estados mais do que outros. Muita trollagen para gerar pânico. Sendo assim, é importante algumas precauções por parte dos colégios/escolas:

Existência de meios físicos de contenção e controle:

- catraca/controle eletrônico de acesso
- controle de entrada e saída de visitantes, com registros de dados
- videomonitoramento, com gravação por pelo menos 10 dias. Ideal é 30 dias

Mecanismos preventivos:

- formatar equipe (interna ou mista interna/externa) de avaliação de ameaças;
- definir comportamentos por ordem de risco e necessidade de contingenciamento;
- definir condutas que demandam intervenção imediata (por exemplo, porte de arma, postagem em redes sociais);
- criar e gerir um sistema anônimo que permita reportar informações com condutas de risco (e-mail, telefone etc.);
- promover ambiente alicerçado em uma cultura de segurança, respeito, confiança e apoio emocional;
- incentivar alunos a compartilhar suas …

Estamos entre os melhores Delegados de Polícia, segundo Censos de 2017, 2018 e 2019

No ano de 2017 já havíamos sido agraciados com a distinção e citação dentre os melhores Delegados de Polícia na Categoria Jurídica. 


Em 2018 e 2019, segundo o Portal Nacional dos Delegados, fomos novamente escolhidos, dentre os Melhores Delegados de Polícia do Brasil, na Categoria Gestão.


Assim, ficamos muito lisonjeados pelo reconhecimento nacional em termos de gestão, especialmente pelo trabalho frente ao Conselho Nacional de Chefes de Polícia Civil, o CONCPC, e, também, da atividade de inteligência. Vejam a lista completa dos agraciados de 2019, clicando aqui.

Seguimos em frente. Deixamos a Chefia da Polícia Civil do RS, deixamos a área de inteligência, porém na vamos continuar nos dedicando à atividade de Segurança Pública.