“I just viewed my TOP 20 Profile Stalkers. I can’t believe my EX is still checking me every day – http://bit.ly/tweetviewer”.

Hm, dat klinkt interessant, kan je zien wie je Twitter profiel bekijkt? Klikken.. tekstje, iets met [Allow], jaja, laat ik daar maar op klikken.. En voor je het in de gaten hebt, heb je zo maar een applicatie toestemming gegeven tot je Twitter gegevens. En een tweet gestuurd, zonder dat je het wist. Met een link waar al je volgers op kunnen klikken. Een Twitter virus. Hoe werkt dat dan?

Twitter heeft een API, een soort ‘toegang’ tot de functies van Twitter waar andere programma’s gebruik van kunnen maken. En er zijn duizenden programma’s die daar gebruik van maken. Heel veel nuttige, zoals de programma’s Tweetdeck en Hootsuite om mee te twitteren, en analysetools als Klout of Twitalyzer om een analyse te maken van je gedrag. Om te kunnen werken moeten die programma’s je Twittergegevens kunnen opvragen, zoals je tijdlijn, je mentions en je favorieten, en dingen kunnen updaten, zoals een favoriet toevoegen of een tweet versturen.

Twitter werkt met een systeem dat ‘oAuth’ heet, waarmee je zelf toestemming geeft aan die applicaties. Je hoeft ze daarmee dus niet je wachtwoord te geven. En je kan zelf die toestemming ook weer intrekken, een mooi systeem.

Maar zoals altijd moet je wel weten hoe je er mee om gaat, en een Twitter virus als Tweetviewer kan zich verspreiden omdat veel mensen te makkelijk klikken op onbekende links. En het eerste wat Tweetviewer doet is een tweet namens jou versturen.

O jee, ik heb geklikt, wat nu?

Het allereerste wat je moet doen is je tweet verwijderen, hoe sneller hoe beter. Want hoe langer de tweet blijft bestaan, hoe meer van je volgers er op klikken en het ‘virus’ daarmee weer verder verspreiden.

Daarna moet je je authorisatie weer intrekken. Dat gaat heel makkelijk, op het url http://twitter.com/settings/connections

Op die pagina zie je alle applicaties die toestemming hebben tot je gegevens, en kan je met ‘Revoke access’ die toestemming weer intrekken.

Moet ik nou ook mijn password wijzigen?

Nee. De applicatie heeft geen toegang tot je password. Als je de authorisatie intrekt is het voldoende.

Maar hoe kreeg Tweetviewer toegang?

Op het moment dat je op een link van zo’n applicatie klikt, wordt je doorgestuurd naar een pagina op de site van Twitter, waarin je gevraagd wordt of je toestemming geeft. Die ziet er ongeveer zo uit:

Voor je op [Allow] klikt moet je een paar dingen nagaan voor jezelf.

1. Ken je de maker, of klinkt het als een ‘net’ bedrijf? Controleer dit.
2. Wat voor toestemming vraagt de applicatie, en is dat logisch? In het bovenstaande voorbeeld vraagt hij voor ‘access and update’ permissie, en dat is logisch voor een Twitter applicatie. Sommige apps vragen alleen ‘access’ permissie, zoals Convore. Tweetviewer vroeg om ‘access and update’, wat verdacht is voor dat type app. Want waarom zou hij dat moeten?
3. En hoe werd je hier heen gestuurd? Lees de tekst van de tweet of link goed. Zou het écht zo zijn dat je kan zien wie je Twitter profiel bekijkt? Zou dat kunnen werken?
4. Als laatste hint zou je ook nog kunnen kijken of het een logo heeft, en als je op het logo klikt je op een redelijke website uit lijkt te komen. Als dat er ook schimmig uit ziet: Niet klikken.

Waar geef ik dan toegang toe?

Als je op ‘Allow’ klikt van een applicatie die ‘access en update’ permissie geeft, kan je er van uit gaan dat die applicatie alles kan wat zou verwachten van een volledige Twitter applicatie. Dus: Je tweets lezen en tweets sturen, tijdlijnen van tweets en mentions opvragen, mensen volgen en ontvolgen, DMs lezen en sturen, favorites toevoegen en verwijderen, etc. Als je toestemming geeft voor een applicatie die alleen ‘access’ permissie geeft, kan die alleen dingen opvragen, en niet ‘posten’. Dat wil zeggen dat de applicatie wel je tijdlijn kan opvragen, maar geen nieuwe tweet kan posten. En wel je Lists kan opvragen, maar geen nieuwe List kan aanmaken of accounts toevoegen aan een list. En wel je Direct Messages kan lezen, maar geen nieuwe kan versturen…

Moet ik nou bang worden?

Nee, dat zou jammer zijn. Een van de mooie dingen van Twitter is juist dat er allerlei prachtige applicaties verzonnen worden, die je data kunnen analyseren, of invoegen in andere programma’s of websites, of waarmee je makkelijk kan twitteren op je telefoon. En je kan altijd heel simpel de authorisatie intrekken. Maar het is wel belangrijk om eventjes na te denken voor je klikt. Zeker als een programma van een onduidelijke herkomst is, en iets belooft dat te mooi lijkt om waar te zijn!

Dit artikel is geschreven door Michiel Berger (@michielb).