Por Mimi Nguyen Ly
O Twitter anunciou em 5 de agosto, que encontrou uma falha de segurança em seu sistema que permitia a um agente de ameaças saber se um número de telefone ou endereço de e-mail estava associado a uma conta existente do Twitter, depois que 5,4 milhões de contas do Twitter foram expostas por um agente de ameaças.
Em um comunicado de segurança, o Twitter disse que, em janeiro de 2022, recebeu um relatório sobre uma vulnerabilidade que permitia que uma pessoa enviasse um endereço de e-mail ou número de telefone aos sistemas do Twitter e aprendesse sobre qualquer conta existente do Twitter associada aos dados fornecidos.
O relatório foi enviado por um usuário chamado “zhirinovskiy” no HackerOne, uma plataforma de coordenação de vulnerabilidades e recompensas de bugs. O usuário descreveu o problema de vulnerabilidade e como ele pode ser explorado. Cinco dias depois, o Twitter reconheceu o assunto e recompensou zhirinovskiy com uma recompensa de US$ 5.040 pelo relatório.
“Esse bug resultou de uma atualização do nosso código em junho de 2021”, disse o Twitter em 5 de agosto sobre a falha de segurança. “Quando soubemos disso, imediatamente investigamos e corrigimos. Naquela época, não tínhamos evidências para sugerir que alguém havia se aproveitado da vulnerabilidade”.
O anúncio continuou: “Em julho de 2022, soubemos por meio de uma reportagem da imprensa que alguém potencialmente havia aproveitado isso e estava se oferecendo para vender as informações que haviam compilado. Depois de analisar uma amostra dos dados disponíveis para venda, confirmamos que um autor se aproveitou do problema antes de ser resolvido.”
O RestorePrivacy, um grupo de privacidade digital, informou no final de julho que uma pessoa que usava o pseudônimo “devil” disse em um fórum de hackers chamado “Breached Forums” que estava vendendo dados coletados de cerca de 5,4 milhões de usuários do Twitter. A pessoa disse que os dados envolvem as contas do Twitter de celebridades, empresas e outros.
A Bleeping Computer disse em julho que conversou com a pessoa, que disse ter usado uma vulnerabilidade para coletar os dados em dezembro de 2021. Os dados estavam à venda por US$ 30.000 e que havia compradores interessados. Não está claro se os dados foram vendidos.
O Twitter disse que “notificará diretamente” os proprietários de contas do Twitter que foram confirmados como afetados.
“Estamos publicando esta atualização porque não podemos confirmar todas as contas que foram potencialmente impactadas e estamos particularmente atentos às pessoas com contas pseudônimas que podem ser alvos do Estado ou de outros autores”, disse a empresa.
O Twitter disse que as pessoas que operam contas com pseudônimos – contas que usam um nome diferente de seus nomes reais – não devem adicionar um número de telefone ou endereço de e-mail publicamente conhecido à sua conta do Twitter.
“Embora nenhuma senha tenha sido exposta, incentivamos todos que usam o Twitter a habilitar a autenticação de dois fatores usando aplicativos de autenticação ou chaves de segurança de hardware para proteger sua conta contra logins não autorizados”, acrescentou o Twitter.
Entre para nosso canal do Telegram
Assista também:
