.
Após relatórios em No final de 2022 que os hackers estavam vendendo dados roubados de 400 milhões de usuários do Twitter, os pesquisadores agora dizem que um tesouro amplamente divulgado de endereços de e-mail vinculados a cerca de 200 milhões de usuários é provavelmente uma versão refinada do tesouro maior com entradas duplicadas removidas. A rede social ainda não se pronunciou sobre a exposição massiva, mas o cache de dados esclarece a gravidade do vazamento e quem pode estar mais em risco em decorrência dele.
De junho de 2021 a janeiro de 2022, houve um bug em uma interface de programação de aplicativo do Twitter, ou API, que permitia que invasores enviassem informações de contato, como endereços de e-mail, e recebessem a conta do Twitter associada, se houver, em troca. Antes de ser corrigido, os invasores exploraram a falha para “raspar” dados da rede social. E embora o bug não permitisse que hackers acessassem senhas ou outras informações confidenciais, como DMs, expôs a conexão entre as contas do Twitter, que geralmente são pseudônimas, e os endereços de e-mail e números de telefone vinculados a eles, potencialmente identificando os usuários.
Enquanto estava ativo, a vulnerabilidade foi aparentemente explorada por vários atores para criar diferentes coleções de dados. Um que circula em fóruns criminais desde o verão inclui os endereços de e-mail e números de telefone de cerca de 5,4 milhões de usuários do Twitter. O enorme tesouro recém-descoberto parece conter apenas endereços de e-mail. No entanto, a ampla circulação dos dados cria o risco de alimentar ataques de phishing, tentativas de roubo de identidade e outros alvos individuais.
O Twitter não respondeu aos pedidos de comentário da Strong The One. A empresa escrevi sobre a vulnerabilidade da API em uma divulgação de agosto: “Quando soubemos disso, imediatamente investigamos e corrigimos. Naquela época, não tínhamos evidências que sugerissem que alguém havia se aproveitado da vulnerabilidade”. Aparentemente, a telemetria do Twitter foi insuficiente para detectar a raspagem maliciosa.
O Twitter está longe de ser a primeira plataforma a expor dados à extração em massa por meio de uma falha de API, e é comum nesses cenários haver confusão sobre quantos tesouros distintos de dados realmente existem como resultado de exploração maliciosa. Esses incidentes ainda são significativos, porque adicionam mais conexões e validação ao enorme corpo de dados roubados que já existe no ecossistema criminoso sobre os usuários.
“Obviamente, há várias pessoas que estavam cientes dessa vulnerabilidade da API e várias pessoas que a extraíram. Pessoas diferentes rasparam coisas diferentes? Quantos tesouros existem? Isso meio que não importa”, diz Troy Hunt, fundador do site de rastreamento de violação HaveIBeenPwned. Hunt ingeriu o conjunto de dados do Twitter em HaveIBeenPwned e diz que representava informações sobre mais de 200 milhões de contas. Noventa e oito por cento dos endereços de e-mail já haviam sido expostos em violações anteriores registradas por HaveIBeenPwned. E Hunt diz que enviou e-mails de notificação para quase 1.064.000 dos 4.400.000 milhões de assinantes de e-mail de seu serviço.
“É a primeira vez que envio um e-mail de sete dígitos”, diz ele. “Quase um quarto de todo o meu corpus de assinantes é realmente significativo. Mas como muito disso já estava por aí, não acho que esse será um incidente com uma cauda longa em termos de impacto. Mas pode desanonimizar as pessoas. O que mais me preocupa são os indivíduos que querem manter sua privacidade.”
.
