Hoy la comunidad Twittera se vio abrumada con varios usuarios que actualizaban su estado mandando un mensaje que decía “don´t click” y era acompañado por una url.
Lo notorio, es que cuando los amigos visitaban la url aparecía una página con un único botón que también decía “don´t click”.
Es de esperar que cualquiera que lo viese lo apretaría, primero porque lo mandó un amigo/a al que le tenemos una confianza media por las pelotudeces sin maldad que posiblemente escriba en Twitter (como todos los restantes inclusive quien escribe estas líneas), segundo porque la curiosidad, posiblemente, nos gane la partida. Es que no conocíamos aún los TwitterVirus.
Lo que sucedió es que esto comenzó a propagarse por todo el globo terráqueo, pasó por las pampas húmedas, el himalaya, groenlandia y hurlingham, el servidor donde estaba alojada la página se avivó, los de tinyurl (usaba ese servicio también) notaron que un link se usaba un poco más que los restantes, y plop, lo volaron de todos lados. Poco antes de que esto ocurriese, ya comenzaron los rumores que hablaban de un virus que te sacaba las passwords, una invasión venusina a Twitter, las consecuencias de la mala política económica de Cavallo en la década pasada y una cantidad de supuestos más que realmente fueron elogiados por su capacidad imaginativa.
Yo alcancé a ver el código fuente y vi que lo único que hacía era llamar a la página de Twitter donde haríamos nuestras actualizaciones si no tuviésemos una herramienta de terceros (como Twittdeck o Twitterfox u otra), y actualizaba nuestro estado con el mismo mensaje “don´t click” y la url. De esta manera lo veían nuestros amigos y se iba propagando sin demora. Lo que sí, esto sólo ocurría si estábamos logueados en Twitter desde nuestro navegador con la opción “remember me”, cosa que posiblemente acontezca en todas las familias tipo.
Es decir, la cosa esta no hacía nada dañino y era una especie de spam inofensivo, no obstante, hizo abrir los ojos de la comunidad tecnológica pues si bien esta vez no hacía nada, algún ser maligno de esos que nunca van a faltar podrían utilizar ese truco en el futuro para intereses un poco menos inofensivos como por ejemplo mandar malware, spyware u otras cosas aún más peligrosas.
Investigando un poco, pude encontrar el código fuente y claramente se puede ver lo siguiente:
- Posiciona con CSS el botón y el iframe (lo esconde arriba de la parte visible de nuestra pantalla)
- El botón que está ahí, está dibujadísimo no hace nada
- Registra los accesos en google analytics.
- Con solo cargar la página, el iframe ya abre (sin estar a la vista y sin apretar el botón) la página de twitter (la nuestra si estamos logueados) y actualiza nuestro estado (publica ese mensaje y es visto por todos nuestros amigos).
Así que lectores twitteros, estemos más atentos para la próxima.
Se hizo eco del caso también Read Write Web.
Update: El botón don´t click submite la página de twitter con nuestro estado “don´t click” más la URL.
Update 2: prueben esto: http://twitter.com/status/update?status=abcd
Aparece lo siguiente:
/status/update?status=abcd This method requires a POST.
Es decir, ya no acepta más una query string (GET) para actualizar nuestro Twitter (?status=abcd) sino que hay que hacerlo a través del post del formulario (lo que se llama push contra pull). Traducción: las variables no pueden viajar en la URL sino a través de un mecanismo interno de la página (lo que es llamado POST).
Un Comentario
Great stuff. http://www.santosydemonios.com.ar is kiler.