.
O consultor de segurança e criador do Have I Been Pwned, Troy Hunt, detalhou uma vulnerabilidade na API do Spoutible, uma plataforma social que surgiu após a aquisição do Twitter por Elon Musk, que poderia permitir que hackers assumissem o controle total das contas dos usuários.
Depois que alguém alertou Hunt sobre a vulnerabilidade, ele descobriu que hackers poderiam explorar a API do Spoutible para obter o nome, nome de usuário e biografia de um usuário, junto com seu e-mail, endereço IP e número de telefone. Desde então, o Spoutible abordou a vulnerabilidade, escrevendo em um post em seu site que não vazou senhas descriptografadas ou mensagens diretas, ao mesmo tempo em que confirmou que “as informações coletadas incluíam endereços de e-mail e alguns números de telefone celular”. Ele convidou qualquer pessoa que ainda queira usar o serviço para uma “sessão especial de pod” às 13h horário do leste dos EUA. Tanto Spoutible quanto Hunt recomendam que os usuários alterem suas senhas e redefinam 2FA.
Conforme mencionado por Hunt, isso não é totalmente incomum, como visto em incidentes semelhantes de coleta de dados em plataformas como Facebook e Trello.
No entanto, Hunt descobriu algo muito mais alarmante: malfeitores também poderiam usar a exploração para obter uma versão com hash das senhas dos usuários. Embora estivessem protegidas com bcrypt, senhas curtas ou fracas poderiam ser bastante fáceis de decifrar, e o serviço impedia as pessoas de definir senhas mais longas que seriam mais difíceis de decifrar.
E, ainda por cima, Hunt descobriu que a API retornava o código 2FA usado para fazer login na conta de alguém, bem como os tokens de redefinição gerados para ajudar um usuário a alterar uma senha esquecida. Isso poderia permitir que hackers obtivessem acesso e sequestrassem facilmente a conta de alguém sem alertá-los sobre a violação.
De acordo com Hunt, a exploração expôs os e-mails de cerca de 207 mil usuários. Isso é quase todo mundo em toda a plataforma, conforme relatório de junho de 2023 da Com fio indicou que Spoutible tinha 240.000 usuários.
.
