.
Rosie Struve; Getty Images
Após relatos no final de 2022 de que hackers estavam vendendo dados roubados de 400 milhões de usuários do Twitter, os pesquisadores agora dizem que um tesouro amplamente divulgado de endereços de e-mail vinculados a cerca de 200 milhões de usuários é provavelmente uma versão refinada do tesouro maior com entradas duplicadas removidas. A rede social ainda não se pronunciou sobre a exposição massiva, mas o cache de dados esclarece a gravidade do vazamento e quem pode estar mais em risco em decorrência dele.
De junho de 2021 a janeiro de 2022, houve um bug em uma interface de programação de aplicativo do Twitter, ou API, que permitia que invasores enviassem informações de contato, como endereços de e-mail, e recebessem a conta do Twitter associada, se houver, em troca. Antes de ser corrigido, os invasores exploraram a falha para “raspar” dados da rede social. E embora o bug não permitisse que hackers acessassem senhas ou outras informações confidenciais, como DMs, expôs a conexão entre as contas do Twitter, que geralmente são pseudônimas, e os endereços de e-mail e números de telefone vinculados a eles, potencialmente identificando os usuários.
Enquanto estava ativo, a vulnerabilidade foi aparentemente explorada por vários atores para criar diferentes coleções de dados. Um que circula em fóruns criminais desde o verão inclui os endereços de e-mail e números de telefone de cerca de 5,4 milhões de usuários do Twitter. O enorme tesouro recém-surgido parece conter apenas endereços de e-mail. No entanto, a ampla circulação dos dados cria o risco de alimentar ataques de phishing, tentativas de roubo de identidade e outros alvos individuais.
O Twitter não respondeu aos pedidos de comentário da WIRED. A empresa escrevi sobre a vulnerabilidade da API em uma divulgação de agosto: “Quando soubemos disso, imediatamente investigamos e corrigimos. Naquela época, não tínhamos evidências que sugerissem que alguém havia se aproveitado da vulnerabilidade”. Aparentemente, a telemetria do Twitter foi insuficiente para detectar a raspagem maliciosa.
O Twitter está longe de ser a primeira plataforma a expor dados à extração em massa por meio de uma falha de API, e é comum nesses cenários haver confusão sobre quantos tesouros distintos de dados realmente existem como resultado de exploração maliciosa. Esses incidentes ainda são significativos, porque adicionam mais conexões e validação ao enorme corpo de dados roubados que já existe no ecossistema criminoso sobre os usuários.
“Obviamente, há várias pessoas que estavam cientes dessa vulnerabilidade da API e várias pessoas que a extraíram. Pessoas diferentes rasparam coisas diferentes? Quantos tesouros existem? Isso meio que não importa”, diz Troy Hunt, fundador do site de rastreamento de violação HaveIBeenPwned. Hunt ingeriu o conjunto de dados do Twitter em HaveIBeenPwned e diz que representava informações sobre mais de 200 milhões de contas. Noventa e oito por cento dos endereços de e-mail já haviam sido expostos em violações anteriores registradas por HaveIBeenPwned. E Hunt diz que enviou e-mails de notificação para quase 1.064.000 dos 4.400.000 milhões de assinantes de e-mail de seu serviço.
“É a primeira vez que envio um e-mail de sete dígitos”, diz ele. “Quase um quarto de todo o meu corpus de assinantes é realmente significativo. Mas como muito disso já estava por aí, não acho que esse será um incidente com uma cauda longa em termos de impacto. Mas pode desanonimizar as pessoas. O que mais me preocupa são os indivíduos que querem manter sua privacidade.”
O Twitter escreveu em agosto que compartilhava essa preocupação sobre o potencial das contas pseudônimas dos usuários serem vinculadas às suas identidades reais como resultado da vulnerabilidade da API.
“Se você opera uma conta no Twitter com pseudônimo, entendemos os riscos que um incidente como esse pode apresentar e lamentamos profundamente que isso tenha acontecido”, escreveu a empresa. “Para manter sua identidade o mais velada possível, recomendamos não adicionar um número de telefone ou endereço de e-mail publicamente conhecido à sua conta do Twitter.”
Para usuários que ainda não haviam vinculado seus identificadores do Twitter a contas de e-mail do gravador no momento da raspagem, porém, o conselho chega tarde demais. Em agosto, a rede social disse que estava notificando os indivíduos potencialmente afetados sobre a situação. A empresa não disse se fará mais notificações à luz das centenas de milhões de registros expostos.
A Comissão de Proteção de Dados da Irlanda disse no mês passado que está investigando o incidente que produziu o tesouro de 5,4 milhões de endereços de e-mail e números de telefone de usuários. O Twitter também está atualmente sob investigação da Comissão Federal de Comércio dos EUA sobre se a empresa violou um “decreto de consentimento” que obrigou o Twitter a melhorar suas medidas de privacidade e proteção de dados do usuário.
Esta história apareceu originalmente em wired.com.
.
