1 pontos por GN⁺ 2025-02-18 | 1 comentários | Compartilhar no WhatsApp
  • O X está impedindo a publicação de links Signal.me, o domínio de contato direto do Signal, em DMs, posts públicos e na bio do perfil
  • Ao bloquear, aparecem mensagens de erro diferentes conforme o ambiente, como web e app de iPhone: “potencialmente nocivo”, “parece uma solicitação automatizada” e “Description is considered malware”
  • Links Signal.me já publicados não são totalmente bloqueados, mas só podem ser acessados após passar pela página de aviso da URL Policy do X
  • O bloqueio parece estar concentrado no Signal.me, enquanto links semelhantes como Signal.org ou URLs de contato do Telegram aparentemente continuam permitidos
  • Ainda é possível publicar o identificador do Signal em texto para que outros usuários copiem e colem no app do Signal

Links Signal.me bloqueados no X

  • O X está impedindo a publicação de links do domínio Signal.me, usados por usuários do Signal para receber contato direto pelo app
    • O bloqueio inclui DMs, posts públicos e também a área de bio do perfil
  • Ao tentar publicar, aparecem mensagens de falha diferentes dependendo do ambiente usado
    • “We can’t complete this request because this link has been identified by X or our partners as being potentially harmful”
    • “This request looks like it might be automated”
    • Ao tentar adicionar na bio do perfil, aparece “Account update failed. Description is considered malware”
  • Mesmo links Signal.me já publicados não levam direto ao destino ao serem clicados, passando antes por uma página de aviso
    • O X informa que o link foi identificado como “potentially spammy or unsafe”
    • O usuário pode ignorar o aviso e clicar em um link adicional para chegar à URL original do Signal.me

Escopo confirmado e formas de contorno que ainda restam

  • Não está claro quando o bloqueio começou, mas antes era possível incluir links Signal.me em posts públicos e na bio do perfil
  • O impacto parece estar limitado às URLs do Signal.me
    • Outros links do Signal, como Signal.org, aparentemente não estão sendo bloqueados
    • Links semelhantes de serviços de terceiros, como URLs de contato do Telegram, são permitidos no X
  • A pesquisadora de segurança Mysk identificou o problema pela primeira vez na noite de 16 de fevereiro de 2025, confirmando o bloqueio em DMs, posts e na bio do perfil
  • O Signal tem sido um importante meio de contato privado entre jornalistas e fontes
    • As mensagens são criptografadas de ponta a ponta
    • O conteúdo é armazenado no dispositivo e não fica guardado na nuvem dos servidores do Signal
  • Nas últimas semanas, o Signal também teve papel importante no envio de informações de funcionários federais a jornalistas sobre o acesso do DOGE, de Elon Musk, a dados de várias agências do governo
  • No momento, usuários do Signal ainda podem publicar no X o identificador do Signal em texto, para que outras pessoas copiem e colem no app do Signal

1 comentários

 
GN⁺ 2025-02-18
Opiniões no Hacker News
  • Não estou tentando defender o Twitter nem a política, mas isso pode ser um erro legítimo
    Na escala do Twitter, a proteção e a detecção contra URLs inseguras normalmente são automatizadas, e pode ser algo parecido com casos em que encurtadores de URL eram bloqueados por inteiro por causa de alguns malwares, phishing ou conteúdo proibido
    À medida que o Signal cresce, links signal.me aparecem mais no Twitter e, mesmo que a maioria dos links seja legítima, o número de links ilegais também aumenta, então é possível que um bloqueio automático tenha sido acionado
    O problema real é que, mesmo que tenha sido intencional, o Twitter pode facilmente se esconder atrás de “foi automação excessiva, desculpe”, especialmente se, após a aquisição do Twitter, especialistas relevantes foram embora ou foram demitidos e a automação deixou de ser mantida e ajustada corretamente

    • O ponto central está enterrado na nota de rodapé. Mesmo que tenha sido um simples erro, uma mudança de bloqueio de URL em um site compartilhado com tanta frequência poderia ter sido facilmente evitada com revisão humana
      Se considerar “eficiência” não manter gente suficiente para perceber que fragmentos de URL e hashtags usam o mesmo símbolo, essa pessoa não deveria chegar nem perto de uma organização ligada à “eficiência governamental”
    • Parece plausível, considerando que todos os links proibidos tinham esse formato
      https://signal.me/#eu/fdy5h1miMifXa...
      O hash de URL (a parte depois de #) muitas vezes não é tratado por sistemas automatizados como uma parte significativa da URL. Afinal, originalmente o hash serve para apontar para um local específico dentro da página carregada pela URL anterior
      Se algum link Signal.me foi marcado por um motivo legítimo, como malware ou conteúdo ilegal, é perfeitamente possível que o sistema automatizado tenha removido o hash e bloqueado o domínio inteiro, cujo caminho na prática é apenas /
      Vai ser interessante ver se eles corrigem e revertem isso. Se não fizerem, dá para ter bastante certeza de que foi intencional
    • O propósito de um sistema é aquilo que ele de fato faz
    • Há três motivos para ser difícil acreditar nisso. Mesmo que seja um erro de automação, quanto tempo leva para reverter; por que é bloqueado só no X, e não em outras redes sociais; e o fato de o X já ter bloqueado URLs do Substack e do Mastodon antes
    • Uma plataforma baseada em compartilhamento de links deveria saber quais domínios apontam para encurtadores de URL
      Mesmo automatizando o processamento, ao encontrar URLs como signal.me, bit.ly ou goo.gl, deveria primeiro fazer um GET e aplicar o algoritmo ao destino indicado no cabeçalho Location
      Não fazer isso com um encurtador de URL amplamente usado como signal.me demonstra incompetência técnica
  • Os americanos ainda usam o X? Se sim, fico curioso para saber por quê. Permanecer nessa plataforma não deixa o dono um passo mais perto de arruinar o próprio país?

    • Como em todas as plataformas sociais, por causa do efeito de rede. A funcionalidade em si é secundária em comparação com a base de usuários e a cultura, e claro que a funcionalidade influencia bastante essa cultura, mas ainda é algo secundário
      Jogos multiplayer, locais de encontro e “terceiros lugares” são parecidos
      Em muitos grupos, o xitter é a plataforma padrão. Por exemplo, artistas de conteúdo adulto em estilo anime a usam como principal vitrine, e muitas empresas publicam ali informações imediatas, como interrupções de serviço ou mudanças no horário de funcionamento. Só isso já é motivo suficiente para as pessoas ficarem
    • Parei de usar o X quando Elon comprou a plataforma e, depois que Elon foi totalmente para o lado MAGA-nazista, acabei apagando também a conta que tinha há muito tempo. Eu era usuário inicial, desde antes de o Twitter se popularizar, mas não me arrependo
    • Até a União Europeia ainda mantém o X como uma plataforma principal: https://european-union.europa.eu/index_en
    • Algumas pessoas inteligentes e perspicazes, por algum motivo, só publicam no X. Eu gostaria que elas escolhessem outro site, mas não vejo grande prejuízo em continuar acompanhando essas pessoas
      Também deve haver muitos amigos ou familiares fora da área de tecnologia que só publicam em uma rede social. Já criei contas em vários lugares só para acompanhar amigos antigos
    • Paradoxalmente, para enfrentar a propaganda de Elon e de gente parecida com ele, ainda é a melhor plataforma em termos de alcance
  • Fiquei curioso para saber exatamente o que são links signal.me e fui pesquisar; os detalhes parecem estar aqui
    https://signal.miraheze.org/wiki/Signal.me_URLs
    https://signal.miraheze.org/wiki/Usernames#Username_links
    Links Signal.me são apenas uma forma fácil de enviar um número de telefone ou nome de usuário para outra pessoa, sem verificação criptográfica de identidade nem proteção do número de telefone ou do nome de usuário. Para contornar o bloqueio, o usuário do Signal pode simplesmente enviar o número de telefone ou o nome de usuário pelo Twitter/X
    O formato criptografado de nome de usuário pode ser cancelado, então oferece alguma proteção de identidade, mas, enquanto está ativo, parece que alguém pode perguntar aos servidores do Signal qual é o nome de usuário associado
    Para começo de conversa, é melhor não usar Twitter/X para esse tipo de coisa. Mastodon vem à mente como alternativa, mas, na verdade, qualquer outra coisa seria melhor

    • Links signal.me são usados para participar ou divulgar grupos do Signal
    • Um nome de usuário não precisa necessariamente estar ligado à identidade real, e o número de telefone também pode ser ocultado
      Não é a explicação mais estranha em defesa de Elon Musk e das políticas de censura do X, mas certamente entra no top 5
  • É especialmente irônico considerando que se sabe que o DOGE usa o Signal como plataforma de comunicação. [1]
    [1] https://news.ycombinator.com/item?id=42579873

    • Se for um departamento oficial do governo, deve estar sujeito a pedidos via FOIA e, portanto, teria a obrigação de preservar documentos, o que é interessante
    • Elon também usa Signal pessoalmente, então eu tenderia a ver isso como um erro legítimo que será corrigido em breve, se ainda não tiver sido
  • Tenho quase certeza de que é porque, ao remover o que vem depois de #, praticamente todos os links signal.me ficam iguais
    Ao fazer uma solicitação HTTP(S), a parte depois de # nunca é enviada na URL da solicitação; essa parte é interpretada apenas pelo próprio navegador. É bem provável que o sistema antispam também tenha simplesmente ignorado o hash inteiro
    Exemplo de link bloqueado: https://signal.me/#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHGbYw...
    A forma sem o hash também é bloqueada: https://signal.me/
    Se adicionar qualquer texto ao caminho, não é bloqueado. Ex.: https://signal.me/abc#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHG...

  • De manhã, como eu tinha um tempo, fiz um site simples para compartilhar links do Signal no X
    https://link-in-a-box.vercel.app
    Se conhecer alguém para quem isso possa ser útil, seria bom compartilhar; e, se tiver feedback, por favor envie

    • Este comentário foi publicado e depois voltou a receber downvotes; se tiver tempo, eu agradeceria se deixasse um feedback
      Como as pessoas já começaram a usar isso, se houver algum problema eu quero responder ou corrigir quando necessário
  • Em um contexto parecido, as Forças Armadas da Suécia recomendaram a pessoas que trabalham com assuntos militares o uso do Signal para chamadas e mensagens que não sejam de um nível mais alto de sigilo
    https://cornucopia.se/2025/02/forsvarsmakten-infor-krav-pa-s... (em sueco)

  • Esse tal absolutismo da liberdade de expressão é realmente implacável

  • Liberdade de expressão para vocês, não para mim

    • Por quê, o Musk por acaso consegue postar links do Signal no X sem problema?
    • Algumas liberdades de expressão são mais livres que outras. /s
  • Vendo daqui, fiquei curioso porque a propriedade do signal.me parece estar bastante escondida por trás da Cloudflare e privacidade WHOIS
    Fazer isso com um domínio de infraestrutura não é uma boa ideia. Isso torna a revisão manual mais difícil e acaba incentivando bloqueios excessivos contínuos
    Ainda assim, há documentação oficial que menciona o signal.me: https://support.signal.org/hc/en-us/articles/360007320291-Fi...
    Essa página está no índice do Bing, mas nos mecanismos de busca “signal.me” parece ser tratado como uma palavra irrelevante