Cuidado: falhas de segurança permitem que hackers roubem contas no Twitter

Por Redação | 01.10.2012 às 16:42

Neste último sábado (29), o produtor de multimídia e usuário do Twitter Daniel Dennis Jones (detentor da conta @blanket), recebeu uma notificação que afirmava que sua senha do Twitter havia sido resetada. Fora do contexto, o aviso mais parecia dizer que alguém tentou invadir a conta do usuário, não foi feliz e a senha foi trocada pelo sistema. Mas o problema foi muito pior que isso: os hackers invadiram e resetaram a conta de @blanket. A história foi contada no Buzz Feed.

Ao tentar logar novamente no Twitter, @blanket teve uma surpresa: seu nome de usuário havia sido alterado para @FuckMyAssHoleLO, e o antigo @blanket já estava sendo "utilizado" por outra pessoa.

Para piorar um pouco as coisas, o username @blanket ainda havia sido colocado à venda. Aparentemente, tudo isso ocorreu devido a uma falha de segurança do Twitter. Jones descobriu que seu nome de usuário havia sido colocado à venda ao fazer uma busca por usernames de uma palavra só em uma lista de um site chamado ForumKorner - uma comunidade onde os usuários podem trocar nomes de usuário por jogos online.

Ao realizar sua busca e encontrar o "paradeiro" de seu username, Jones descobriu que muitas outras pessoas já haviam passado pelo mesmo problema. Geralmente, as vítimas são pessoas com usernames muito cobiçados, que podem gerar lucro para os hackers, ao tentar vendê-los ou trocá-los por aplicativos ou jogos na web. Jones também descobriu que os usernames listados no site foram disponibilizados por um grupinho de hackers adolescentes, que os vendiam por preços baixos (menos de 100 dólares).

O fato destes hackers estarem roubando contas com nomes únicos, como @blanket ou @Captain, pode estar intimamente relacionado com algum exploit ou falha no próprio Twitter. Jones foi um pouco além e conseguiu conversar com um hacker com o nickname Moon, que tinha por costume roubar contas no microblog. A conversa foi a seguinte:

Jones: O que faz um nome ser fácil de roubar? Uma senha vulnerável?
Moon: Sim
Jones: Você utiliza listas de outras senhas, como a do hack do LinkedIn? Como o cracker funciona?
Moon: Eu tenho várias listas de senhas customizadas que eu mesmo fiz.

Leia também: Hackers consequem quebrar até as senhas mais inteligentes; veja como

O hacker descreveu uma técnica extremamente simples e fácil de realizar: ele utilizou um programa que tentava, repetidas vezes, fazer login com senhas comuns. A maioria dos sites, incluindo o Twitter, marca, desabilita a conta temporariamente ou lança um captcha após um determinado número de tentativas de login.

Mas enquanto muitos serviços, como o Gmail, limitam as tentativas de login por conta, tudo indica que o Twitter apenas previne várias tentativas de login a partir de um mesmo endereço de IP. Em outras palavras, os crackers podem tentar roubar uma conta no Twitter quantas vezes quiserem, desde que suas tentativas se originem de IPs e computadores diferentes.

Depois do roubo inicial, Jones disse ao Buzz Feed que os hackers não foram tão maliciosos, deixando sua conta intacta e abstendo-se de táticas mais aprofundadas. "Poderia ter sido muito pior", diz Jones. Para ele, os hackers só estavam tentando fazer um dinheirinho rápido, ou impressionar seus amigos (e garotas) com suas façanhas.

Para fechar o exemplo de Jones, ele admite que sua senha não era nada difícil. Isso ajudou bastante na hora da invasão. Mas se o hacker estiver dizendo a verdade, existe mesmo uma grande falha de segurança no Twitter. Jones diz que o sistema de suporte do Twitter é "intencionalmente opaco" e espera que o que aconteceu com ele sirva de exemplo para os milhões de usuários do microblog.

"É como ler uma história de terror e sair para trancar a porta - as pessoas deveriam alterar suas senhas". Se você é um twitteiro assíduo e pretende não ter sua conta roubada, é melhor escolher uma nova senha, de preferência forte, para que o infortúnio não aconteça com você.