Um adolescente norte-americano que ainda está no ensino médio descobriu uma falha no sistema de upload automático do Flickr que permite enviar fotos para contas de usuários através de um simples email. Caso algum troll quisesse se aproveitar disso, seria possível enviar milhões de fotos indesejadas para milhões de contas de usuários do serviço sem a permissão deles.

O serviço de upload automático por email do Flickr funciona da seguinte maneira: cada usuário recebe um endereço de email específico e pode enviar para ele fotos que serão automaticamente adicionadas às suas contas. A ferramenta provavelmente foi desenvolvida para facilitar a vida de profissionais de fotografia que, ao mesmo tempo que enviam seus trabalhos para clientes, podem adicionar seus emails de upload em cópia oculta para que o envio seja feito no Flickr.

Acontece que o endereço gerado para os usuários contava com um padrão relativamente simples, e o adolescente — identificado como Jazzy em seu blog — conseguiu identificar como isso funcionava. Para tal, alterou manualmente o endereço aleatório no Flickr algumas vezes e percebeu que a construção seguia sempre uma fórmula:

<palavra do dicionário aleatória><número aleatório entre 0 e 100><palavra do dicionário aleatória>@photos.flickr.com

Ele também percebeu que as palavras da fórmula nunca passavam de seis letras e resolveu fazer um script em Python para repetidamente alterar seu endereço de upload automático no Flickr e coletar os resultados que o serviço enviava. Depois de deixar o código rodando uma noite toda, ele conseguiu 23.692 endereços de emails diferentes.

captura de tela

Ao cruzar tudo isso, ele percebeu que só existiam 935 palavras em inglês diferentes no catálogo de aleatoriedades do Flickr, o que, combinado com números de 0 a 100, geram apenas 85,5 milhões de combinações distintas. Como o Flickr tem 50 milhões de usuários, seguindo a fórmula descoberta por Jazzy, as chances de você fazer o upload de uma foto mal-intencionada para algum usuário real eram de mais de 50%.

O adolescente reportou a falha ao Flickr e conseguiu uma recompensa por isso. Como ele se manifestou a respeito do seu feito, é muito provável que o Yahoo!, dono do Flickr já tenha corrigido o problema.

Cupons de desconto TecMundo: