Registros de 235 milhões de contas do Twitter e os endereços de e-mail usados para registrá-los foram postados, gratuitamente, em um fórum de hackers. Especialistas entendem que esses dados provavelmente foram compilados no final de 2021, usando uma falha no sistema do Twitter.
Essa falha permitia que pessoas de fora, que já tivessem um endereço de e-mail ou número de telefone, encontrassem qualquer conta que tivesse compartilhado alguma dessas informações com o Twitter. E pesquisas assim podem ser automatizadas para verificar uma lista ilimitada de e-mails ou números de telefone.
Em janeiro de 2022 o Twitter foi informado da vulnerabilidade em seu sistema, através de seu programa de recompensa para relatórios de bugs. Em julho, hackers foram flagrados vendendo um conjunto de 5,4 milhões de identificadores de contas do Twitter, e-mails e números de telefone associados.
A empresa fez um post comentando a questão em agosto, quando também explicou que a vulnerabilidade foi introduzida acidentalmente em uma atualização de código que aconteceu em junho de 2021. Em sua declaração, o Twitter disse que corrigiu a falha quando soube dela, mas não deixou claro quanto tempo demorou o processo.
Alon Gal, cofundador da empresa de segurança israelense Hudson Rock, foi quem viu a postagem desse novo (e muito maior) vazamento. Ele disse que o que está sendo exposto agora, com uma quantidade de dados muito maior que a anterior, foi quase certamente compilado da mesma maneira. Para Gal, os dados foram oferecidos para venda privada e circularam por um tempo antes da publicação recente.
Especialistas em segurança apontam que mesmo usuários com menos risco (que fornecem e-mails descartáveis ou não vinculados a eles em outro lugar) ainda podem estar sujeitos a tentativas de controle de conta, phishing ou ameaças por e-mail.
Em maior escala, existe o risco de ameaças de exposição, extorsão ou violência, por exemplo. Os endereços de e-mail também podem ser usados para tentar redefinir senhas e assumir o controle de contas, especialmente aquelas não protegidas por autenticação de dois fatores.
Em janeiro de 2022 (quando o Twitter recebeu a informação da vulnerabilidade) a empresa demitiu seus dois principais funcionários de segurança. Um deles, Peiter Zatko, vinha argumentando (internamente) que o Twitter não estava preparado para se defender de ataques hackers. Posteriormente ele apresentou uma queixa formal de denúncia à Comissão de Segurança e Câmbio e testemunhou sobre as deficiências no Congresso.
Elon Musk, o novo dono do Twitter, tentou usar o testemunho de Zatko sobre más práticas de segurança para sair da compra da empresa. Como sabemos, a compra acabou acontecendo. Uma das preocupações agora é que Musk já demitiu muitos de seus funcionários de segurança.
Fonte: The Washington Post
Comments