O que você precisa saber
- Uma vulnerabilidade que o Twitter alegou ter corrigido anteriormente pode ter resultado no comprometimento de milhões de dados do usuário.
- Mais de 5,4 milhões de registros de usuários do Twitter foram compartilhados gratuitamente em um fórum de hackers.
- Diz-se também que a mesma vulnerabilidade gerou um despejo de dados maior contendo “dezenas de milhões” de dados do usuário.
Uma antiga vulnerabilidade que o Twitter alegou ter sido corrigida no início deste ano continua a assombrar a empresa de mídia social e parece ter implicações de segurança muito mais sérias do que suspeitávamos inicialmente.
Computador apitando (abre em nova aba) relata que informações pessoais de aproximadamente 5,4 milhões de usuários do Twitter roubadas como resultado de uma vulnerabilidade de API foram compartilhadas livremente em um fórum de hackers. Este parece ser o mesmo despejo de dados que um hacker supostamente vendeu em agosto por US$ 30.000.
Recapitulando, o Twitter confirmou em agosto a existência de uma vulnerabilidade de API que permitiria aos hackers identificar a qual conta um endereço de e-mail ou número de telefone estava associado, expondo potencialmente a identidade real de contas pseudônimas. No entanto, a empresa disse então que não encontrou evidências de que essa falha tenha sido explorada.
O novo relatório do BleepingComputer indica que não apenas o despejo de dados é oferecido gratuitamente em um fórum de hackers, mas também outros conjuntos de dados roubados surgiram da mesma vulnerabilidade. Pompompurin, dono do fórum de hackers conhecido como Breached, disse ao BleepingComputer que eles criaram o despejo de dados depois de explorar o bug. Eles também admitiram que a vulnerabilidade foi originalmente obtida de outro hacker conhecido como “Devil”.
Além dos 5,4 milhões de registros de usuários, Pompompurin assume a responsabilidade pela obtenção de 1,4 milhão de perfis no Twitter para contas suspensas. O hacker alegou que esse despejo de dados foi obtido usando outra API, embora tenha sido compartilhado apenas em particular com algumas pessoas.
No entanto, outras pessoas podem ter explorado a vulnerabilidade da API. O especialista em segurança Chad Loder revelou que dezenas de milhões de dados de usuários do Twitter podem ter sido obtidos usando a mesma API. Esse despejo de dados aparentemente inclui números de telefone pessoais junto com informações públicas, como nomes de contas e ID do Twitter.
Loder compartilhou uma amostra editada do referido conjunto de dados no Mastodon, já que ele foi banido do Twitter logo após postar as mesmas informações. Diz-se que as contas do Twitter afetadas são baseadas na UE e nos EUA, e a violação aparentemente “ocorreu não antes de 2021”. O BleepingComputer descobriu que o despejo de dados continha mais de 17 milhões de registros, embora não pudesse confirmar isso.
De acordo com o BleepingComputer, ele conseguiu validar a autenticidade dos números de telefone vazados e descobriu que eram registros separados do tesouro de dados anterior. Isso implica que a violação de dados é maior do que se pensava anteriormente.
O Android Central entrou em contato com o Twitter para comentar e atualizará este artigo quando recebermos uma resposta.