Por Redação do Jornal O Sul | 7 de janeiro de 2023
Dados pessoais de mais de 200 milhões de usuários do Twitter foram vazados por hackers, informou o portal The Verge. Segundo relatórios de pesquisadores de segurança e meios de comunicação, as informações foram compiladas de violações ocorridas em 2021 na plataforma.
“Este é um dos vazamentos mais significativos que já vi”, escreveu em um post no LinkedIn Alon Gal, cofundador da empresa israelense de segurança cibernética Hudson Rock. “[Isso] infelizmente levará a muitos hackeamentos, phishing direcionado e doxxing.”
A reportagem do The Verge destaca que o número exato de usuários afetados varia, em parte devido à tendência de tais despejos de dados em grande escala incluírem registros duplicados.
A lista, que contém nome de usuário, endereço de email e telefone, foi compilada com a exploração de uma vulnerabilidade da API (uma interface que permite que uma plataforma se comunique com aplicações de terceiros) da rede social.
Com a brecha, criminosos conseguiam inserir email ou um telefone celular e descobriam se as informações estavam associadas a um perfil do Twitter. Bastou aos invasores baixarem o nome do perfil de usuários e completarem a lista para associar o nome do perfil com email e telefone.
A vulnerabilidade era conhecida desde 2021 e foi corrigida em janeiro de 2022. Um ano depois, invasores começaram a vazar ou vender os dados obtidos com a brecha.
O BleepingComputer divulgou algumas capturas de tela do vazamento, e elas mostram vários arquivos de texto listando endereços de e-mail, nomes de usuário e nomes reais (nos casos em que foram compartilhados com o Twitter), contagens de seguidores e datas de criação da conta.
O site informou que “confirmou a validade de muitos dos endereços de e-mail listados no vazamento” e que o banco de dados estava sendo vendido em um fórum de hackers por apenas US$ 2 (aproximadamente R$ 10,7).
Falha de segurança
Reportagem do The Washington Post aponta que a origem do banco de dados parece remontar a 2021, quando hackers descobriram uma vulnerabilidade nos sistemas de segurança da rede social, hoje pertencente a Elon Musk.
Em agosto do ano passado, o Twitter admitiu a falha e afirmou que a havia corrigido meses antes, em janeiro. Apesar disso, alegou que “não tinha evidências que sugerissem que alguém havia se aproveitado da vulnerabilidade”, porém, especialistas em segurança cibernética já haviam localizado bancos de dados com as informações dos usuários à venda.
