Extraño bug en Twitter Permite cambiar los datos del perfil con un simple tweet...
Hoy me ha ocurrido una de esas cosas que cuando las cuentas, la cara de tu interlocutor dibuja una mueca deforme,mezcla entre incomprensión e incredulidad...
Resulta que me disponía a compartir en Twitter por web éste post de @hernanmdq con la siguiente fórmula:
Cuál fué mi sorpresa cuando veo que además de no publicarse el tweet, aparece un mensaje en la barra superior:
Extrañado, miro mi timeline varias veces y repito la acción algunas veces más, siempre con el mismo resultado. Extrañado pruebo varias combinaciones eliminando el "vía..." y jugando con el resto de palabras... de ahí alguno de mis extraños tweets de esta tarde.
Hasta que doy con una combinación:
Desconcertado, contacto con @hernanmdq para comprobar si le había ocurrido algo parecido y con @aartiles24 (de e24apps), conocido ya por los lectores de éste blog por las diversas herramientas para Twittercreadas por él que hemos analizado.
Después de un buen rato de pruebas y de debate, hemos descubierto un importante bug en Twitter, tanto para la versión inglesa como para la versión en Español. Hemos dado con una serie de comandos que mediante un simple tweet pueden cambiar los datos. Y digo "comando" por decir algo, ya que los términos, al menos en la versión en español, personalmente, me parecen demasiado sencillos..
Así pues, al twittear:
... o cualquier otra url se cambiará la web que tengamos puesta en nuestro perfil. Eso sí, todo en minúsculas y no podemos incluir "http://" ya que entonces saldrá duplicado (http://http://todotwitter.blogspot.com/)
.. pudiendo sustituir "minuevonombre" por el nombre que tú desees. En éste caso "crear name" siempre en minúsculas, puedes utilizar mayúsculas para el nombre.
... y en "micasa" pones la ubicación que desees. La anterior norma para mayúsculas y minúsculas sigue siendo aplicable en éste caso.
Todos estos "comandos" bien ejecutados harán que se cambie la información de tu perfil en Twitter. Si no los escribes bien, o no saldrán publicados o se publicarán tal cual lo escribas.
En Inglés los comando son similares:
set url twitter.com/TwittBoy
set name newname
set location home
¿Porqué nos parece peligroso?
..o cuanto menos preocupante?. Seguro que a éstas alturas ya habrás recurrido a consultar los Comandos de texto Oficiales de Twitter, y como verás, lo único que nos resulta conocido es SET LOCATION placename para cambiar, como hemos apuntado, la localización en el perfil, aunque parece ser válido también en mayúsculas... según Twitter.
El mayor peligro que hemos visto es precisamente algo que podría haber ocurrido con el post de @hernanmdq, y que tanto a él como a @aartiles24 y a mi mismo ha sido lo que más nos ha preocupado. Si observas el Timeline de @hernanmdq comprobarás que la entrada a la que me refiero no aparece twitteada por TwitterFeed, que es el sistema que utiliza para enviar automáticamente sus post a Twitter. En cualquier otro momento hubiéramos achacado el problema a twitterFeed, algo a lo que estamos acostumbrados, pero decidimos comprobarlo con esos usuarios de los que casi todos tenemos alguno, que tienen enlazado el feed de CodigoGeek a su cuenta de Twitter.
Efectivamente, en sus Timelines tampoco aparecía el tweet, tan sólo en alguno que de manera automática había incluido el hashtag #CodigoGeek antes del título del post.
Entonces...dónde está el peligro?
Imaginemos que publico una entrada titulada:
Ésta, una vez twitteada automáticamante, quedaría en un tweet de la siguiente manera:
Y automáticamente cambiaría la url del perfil del usuario que intentase twittearla, enlazándola directamente a mi blog. Hay que tener en cuenta que la url debemos ponerla con / al final para que no quede cortada al agregarle la url corta de bit.ly, y si no nos lleva a la página principal de nuestro blog, al menos sí lo haga a una página de Error 404.. pero en definitiva, enlazará a nuestro dominio.
Cómo podemos afirmar ésto? bueno, quizás hemos probado algo, tal y como se desvela en algún tweet...
De la misma manera, si publicamos un post titulado crear name Pulpo Paul u otro titulado crear location En mi acuario, conseguiremos que muchos usuarios que intenten twittear dichos post se conviertan en el Pulpo Paul que está En su acuario...O_o
En los tres casos se trata de una grave vulnerabilidad de Twitter, ya que de manera involuntaria (o no) se podrían cambiar los datos del perfil de cientos de usuarios... imagínense el daño que haría un sitio tipo Mashable con la cantidad de usuarios que twittean sus entradas de manera automática, mientras duermen o hacen cualquier cosa que no sea estar pendientes a su cuenta de Twitter cuando está activa.
Ni que decir tiene que el problema puede ser aún más grave si tenemos en cuanta los botones para enviar un post a Twitter, que si nos son gestionados por Twetmeme o alguno similar que requiera Twitter Oauth para funcionar (y aún éstos) son html muy sencillo que se puede modificar fácilmente para que, mientras nosotros pensamos que enviamos "Los 10 mejores trucos de socialmedia de la historia", lo que estemos haciendo es cambiar alguno de los datos de nuestro perfil al antojo del dueño del sitio que visitemos.
En fin, en resúmen, que muchísimo ojo cada vez que twittees algo y no aparezca en tu timeline, comprueba siempre los datos de tu perfil por si hss caído en las garras de un "listillo" que se haya dado cuenta del bug y empiece a sacarle provecho. La solución es sencilla, entras a los datos de tu perfil y los vuelves a cambiar, pero repito... todos conocemos varias cuentas que funcionan sólo nutridas a base de feeds durante muchas horas al día...y pulsamos en botones de retweet en miles de sitios y blogs.
Quiero terminar este post dando las gracias a @hernanmdq y a @aartiles24 por dejar lo que estaban haciendo y ayudarme a desenmarañar este bug, han sido ellos quienes realmente han aportado la valentía y los conocimientos necesarios para poder hacer las pruebas y comprobaciones que fundamentan este post.
Por cierto @pizcos el otro día ya apuntaba alguna que otra curiosidad en Twitter.
Nota.-Ya hemos avisado a los usuarios que se han visto afectados por nuestras pruebas... somos buenos chicos...
