CNN
—
Endereços de e-mail vinculados a mais de 200 milhões de perfis do Twitter estão atualmente circulando em fóruns de hackers clandestinos, dizem especialistas em segurança. O aparente vazamento de dados pode expor as identidades reais de usuários anônimos do Twitter e tornar mais fácil para os criminosos sequestrar contas do Twitter, alertaram os especialistas, ou até mesmo as contas das vítimas em outros sites.
O tesouro de registros vazados também inclui nomes de usuários do Twitter, identificadores de contas, números de seguidores e as datas em que as contas foram criadas, de acordo com listas de fóruns revisadas por pesquisadores de segurança e compartilhadas com a CNN.
“Os malfeitores ganharam o jackpot”, disse Rafi Mendelsohn, porta-voz da Cyabra, uma empresa de análise de mídia social focada na identificação de desinformação e comportamento online não autêntico. “Dados anteriormente privados, como e-mails, identificadores e data de criação, podem ser aproveitados para criar campanhas de hackers, phishing e desinformação mais inteligentes e sofisticadas.”
Alguns relatórios sugeriram que os dados foram coletados em 2021 por meio de um bug nos sistemas do Twitter, uma falha que a empresa corrigido em 2022 depois que um incidente separado em julho envolvendo 5,4 milhões de contas do Twitter alertou a empresa sobre a vulnerabilidade.
Troy Hunt, um pesquisador de segurança, disse quinta-feira que sua análise dos dados “encontrou 211.524.284 endereços de e-mail exclusivos” que havia vazado. O Washington Post anteriormente relatado uma listagem de fórum que promove os dados de 235 milhões de contas.
Hunt não respondeu imediatamente a uma pergunta da CNN perguntando se os registros seriam adicionados ao seu site, haveibeenpwned.com, que permite aos usuários pesquisar registros hackeados para determinar se eles foram afetados. A CNN não verificou de forma independente a autenticidade dos registros.
O Twitter não respondeu imediatamente a um pedido de comentário. Sua equipe de comunicação, juntamente com cerca de metade da força de trabalho geral do Twitter, foi destruída depois que o bilionário Elon Musk concluiu sua aquisição da empresa no final de outubro. As reduções significativas de pessoal podem agora aumentar as preocupações sobre a capacidade da empresa de responder a ameaças de segurança.
A amplitude dos dados vazados pode permitir que atores mal-intencionados ou governos repressivos conectem identificadores anônimos do Twitter com os nomes reais ou endereços de e-mail de seus proprietários, potencialmente desmascarando dissidentes, jornalistas, ativistas ou outros usuários em risco em todo o mundo, alertam pesquisadores de segurança.
“Para essas pessoas, esta é uma violação muito importante”, disse John Scott-Railton, pesquisador de segurança do Citizen Lab da Universidade de Toronto.
Os dados da conta também podem ser valiosos para hackers que podem usar as informações como parte de tentativas de redefinição de senha e controle de contas. O risco é particularmente alto para indivíduos que usam as mesmas credenciais de conta no Twitter e em outros serviços digitais, como bancos ou armazenamento em nuvem, disseram os pesquisadores, porque os hackers podem obter informações obtidas do vazamento para abrir contas de usuários em outros lugares.
Usuários verificados do Twitter apanhados no vazamento aparente, ou usuários com seguidores particularmente grandes, serão alvos particularmente valiosos como resultado do vazamento, alertaram especialistas em segurança, já que os titulares de contas podem ser celebridades especialmente influentes ou suscetíveis a extorsão.
Para se proteger de tentativas de phishing, os internautas devem usar senhas exclusivas para cada serviço online e acompanhá-los usando um gerenciador de senhas digital, dizem os pesquisadores de segurança. Eles também devem ativar a autenticação multifator para cada uma de suas contas e ter cuidado ao abrir e-mails ou links não solicitados.
De acordo com a agência de notícias de segurança cibernética BleepingComputer, que alegou testar os dados, o despejo mais recente parece semelhante a um conjunto de dados vazado anunciado em fóruns de hackers em novembro contendo supostos 400 milhões de registros, mas reduzido para eliminar alguns registros duplicados. O Twitter não comentou esse vazamento.
Relatos do vazamento podem expandir o já significativo risco legal e regulatório do Twitter.
Em dezembro, o principal regulador europeu de privacidade do Twitter, a Irish Data Protection Commission, disse que é investigando o vazamento de julho de 2022 como uma possível violação da lei de privacidade da Europa, conhecida como GDPR.
No verão passado, o ex-chefe de segurança da empresa, Peiter “Mudge” Zatko, apresentou um relatório de denúncia ao governo dos EUA alegando vulnerabilidades de segurança há muito ignoradas nas operações do Twitter. Zatko alegou que as deficiências de segurança do Twitter refletiam uma violação dos compromissos obrigatórios do Twitter com a Federal Trade Commission, uma ofensa grave. (O Twitter rejeitou ampla e repetidamente as alegações de Zatko.)
Incidentes sucessivos no Twitter levaram a empresa a assinar dois pedidos de consentimento com a FTC desde 2011 para melhorar sua postura de segurança cibernética. Violações de ordens da FTC podem levar a multas, restrições de negócios e até sanções direcionadas a executivos individuais.
Em novembro, altos funcionários do Twitter responsáveis por privacidade e segurança se demitiram da empresa, poucos dias depois de Musk fechar a compra da plataforma e em meio a demissões em massa que, em alguns casos, cortaram departamentos inteiros.