Hackers publicam endereços de e-mail vinculados a 200 milhões de contas do Twitter
Vazamento de dados pode expor as identidades reais de usuários anônimos do Twitter e tornar mais fácil para os criminosos sequestrar contas, alertaram os especialistas
Endereços de e-mail vinculados a mais de 200 milhões de perfis do Twitter estão circulando atualmente em fóruns de hackers clandestinos, dizem especialistas em segurança.
O aparente vazamento de dados pode expor as identidades reais de usuários anônimos do Twitter e tornar mais fácil para os criminosos sequestrar contas, alertaram os especialistas, ou até mesmo as contas das vítimas em outros sites.
O tesouro de logs vazados também inclui nomes de usuários do Twitter, nomes de contas, número de seguidores e datas de criação de contas, de acordo com listas de fóruns revisadas por pesquisadores de segurança e compartilhadas com a CNN.
Rafi Mendelsohn, porta-voz da Cyabra, uma empresa de análise de mídia social que se concentra na identificação de desinformação e comportamento inautêntico na Internet, diz: “Os malfeitores tiraram a sorte grande”.
“Dados anteriormente privados, como endereços de e-mail, nomes de usuários e data de criação, podem ser aproveitados para criar campanhas de hackers, phishing e desinformação mais inteligentes e sofisticadas.”
Alguns relatórios sugeriram que os dados foram coletados em 2021 por meio de um bug nos sistemas do Twitter, uma falha que a empresa corrigiu em 2022 depois que um incidente separado em julho, envolvendo 5,4 milhões de contas do Twitter, alertou a empresa sobre a vulnerabilidade.
Troy Hunt, um pesquisador de segurança, disse na quinta-feira (5) que sua análise dos dados “encontrou 211.524.284 endereços de e-mail exclusivos” que vazaram. O Washington Post informou anteriormente que um fórum estava promovendo os dados de 235 milhões de contas.
Hunt não respondeu imediatamente a uma pergunta da CNN sobre se os registros seriam adicionados ao seu site, haveibeenpwned.com, que permite aos usuários pesquisar registros hackeados para determinar se foram afetados.
A CNN não verificou de forma independente a autenticidade dos registros.
O Twitter não respondeu imediatamente a um pedido de comentário. Sua equipe de comunicação, com cerca de metade da equipe total do Twitter, foi demitida depois que o bilionário Elon Musk completou sua aquisição da empresa no final de outubro.
Grandes reduções de pessoal podem agora aumentar as preocupações sobre a capacidade da empresa de responder a ameaças de segurança.
A amplitude dos dados vazados pode permitir que atores mal-intencionados ou governos repressivos conectem contas anônimas do Twitter aos nomes reais, ou endereços de e-mail de seus proprietários, potencialmente expondo dissidentes, jornalistas, ativistas ou outros usuários em risco em todo o mundo, alertam pesquisadores de segurança.
“Para essas pessoas, essa é uma vulnerabilidade muito importante”, diz John Scott-Railton, pesquisador de segurança do Citizen Lab da Universidade de Toronto.
Os dados da conta também podem ser valiosos para hackers, que podem usá-los para tentar redefinir senhas e sequestrar contas.
Segundo os pesquisadores, o risco é especialmente alto para pessoas que usam as mesmas credenciais de conta no Twitter e em outros serviços digitais, como bancos ou armazenamento em nuvem, porque os hackers podem usar as informações obtidas com o vazamento para abrir outros sites.
Os usuários verificados do Twitter afetados pelo vazamento aparente, ou usuários com contagens particularmente altas de seguidores, serão alvos especialmente valiosos como resultado do vazamento, alertaram especialistas em segurança, já que os titulares dessas contas podem ser celebridades particularmente influentes ou suscetíveis a extorsão.
Para se proteger contra tentativas de phishing, os usuários devem usar senhas exclusivas para cada serviço online e acompanhá-los usando um gerenciador de senhas digitais, dizem os pesquisadores de segurança. Eles também devem ativar a autenticação multifator para cada uma de suas contas e ter cuidado ao abrir e-mails ou links não solicitados.
Segundo a agência de segurança cibernética BleepingComputer, que afirmou ter analisado os dados, o vazamento recente parece semelhante ao anunciado em fóruns de hackers em novembro, que continha 400 milhões de registros, embora tenha sido reduzido para remover algumas duplicatas. O Twitter não comentou esse vazamento.
Relatos do vazamento podem aumentar o já significativo risco legal e regulatório do Twitter.
Em dezembro, o principal regulador europeu da privacidade do Twitter, a Irish Data Protection Commission, disse que está investigando o vazamento de julho de 2022 como uma possível violação da lei de privacidade mais importante da Europa, conhecida como GDPR.
No verão passado, o ex-chefe de segurança da empresa, Peiter “Mudge” Zatko, apresentou um relatório ao governo dos EUA expondo vulnerabilidades de segurança há muito ignoradas nas operações do Twitter. Zatko alegou que as deficiências de segurança do Twitter refletiam uma violação dos compromissos vinculativos da empresa com a Federal Trade Commission (FTC), o que constituía um crime. O Twitter refutou ampla e repetidamente as alegações de Zatko.
Incidentes sucessivos no Twitter levaram a empresa a assinar dois pedidos de consentimento com a FTC desde 2011 para melhorar sua postura de segurança cibernética. O não cumprimento das ordens da FTC pode resultar em multas, restrições de negócios e até mesmo penalidades contra executivos individuais.
Em novembro, altos funcionários do Twitter responsáveis por privacidade e segurança se demitiram da empresa, poucos dias depois de Musk fechar a aquisição da plataforma e em meio a demissões em massa que, em alguns casos, afetaram departamentos inteiros.
