Criminoso rouba dados do Twitter e quer vendê-los a Elon Musk
Por Felipe Demartini | Editado por Claudio Yuge | 27 de Dezembro de 2022 às 12h01
Um novo volume de dados vazados do Twitter está sendo vendido de forma privada, podendo trazer as informações da maior parte dos usuários da rede social em todo o mundo. O pacote que surgiu em um fórum de cibercriminosos no final de semana de Natal conteria nomes de usuário, identificadores e telefones de mais de 400 milhões de pessoas, com os responsáveis tendo um único comprador em mente: Elon Musk.
- Saiba como proteger dados e evitar prejuízos com vazamentos
- 5 dicas para empresas se protegerem de vazamentos de dados
Em publicação que fala diretamente com ele e o restante da direção da empresa, o criminoso identificado como Ryushi pede US$ 200 mil, cerca de R$ 1 milhão e fala em uma venda exclusiva, com o volume sendo deletado na sequência. Assim, aponta, o Twitter escaparia não apenas da multa de órgãos regulatórios pelo vazamento de dados como também do vexame de deixar os números de telefone e informações de várias celebridades vazarem por decorrência de uma brecha de segurança explorada amplamente no final do ano passado.
Na amostra divulgada, aparecem informações pertencentes aos perfis dos artistas Charlie Puth, DojaCat e Shawn Mendes, ao CEO do GoogleSundar Pichai e personalidades políticas como a deputada americana Alexandria Ocasio-Cortez e o filho do ex-presidente americano Donald Trump, entre outros. Contas corporativas, como as pertencentes à SpaceX, do próprio Musk, ou de órgãos governamentais dos Estados Unidos, também aparecem na divulgação; inicialmente, foram 37 usuários, mas um segundo conjunto de verificação contém dados de 1.000 contas.
As entradas incluem e-mail, nomes de usuário, data de criação e contagem de seguidores, além de endereços de e-mail e, em muitos casos, telefones, em duas informações que não são públicas. Trata-se de mais uma exploração de uma falha na API do aplicativo do Twitter para Android, com o criminoso responsável afirmando que ela estava no sistema de login do software — a brecha foi corrigida em janeiro deste ano, mas não antes de ser explorada por múltiplos indivíduos maliciosos, segundo a própria rede social, já que ficou disponível por semanas sem ser atendida.
Apesar da publicação na superfície da web, a promessa do criminoso responsável é de uma venda privada. Ele estaria interessado em negociar apenas com o Twitter e, na sequência, apagaria o volume vazado para evitar que golpes e roubo de identidade atinjam, principalmente, as celebridades presentes no comprometimento. A rede social não respondeu até o momento de publicação desta reportagem, enquanto não ficou claro o que será feito com o banco de dados caso a plataforma não atenda às demandas.
Vazamento sob suspeita
O volume publicado originalmente na sexta-feira (23) chegou a levantar suspeitas quanto à sua autenticidade. Enquanto a revelação original sobre ele veio pelas mãos da empresa de cibersegurança Hudson Rock, que disse ter verificado a autenticidade de pelo menos parte dos dados, houve dúvidas, principalmente, quanto ao número de usuários atingidos.
"Urgente: a Hudson Rock descobriu que um ator de ameaças reconhecível está vendendo os dados de 400 milhões de usuários do Twitter. O banco de dados privado contém quantidades devastadoras de informação, incluindo e-mails e números de telefone de usuários de alto padrão como AOC, Kevin O'Leary, Vitalik Buterin e mais."
O total de 400 milhões, apontaram alguns especialistas e diferentes palpiteiros na própria rede social, não corresponderia ao volume real de perfis no Twitter. De acordo com os números mais recentes da plataforma, são 238 milhões de utilizadores ativos todos os meses, enquanto o total de perfis criados não é oficialmente conhecido.
Levantamentos extra-oficiais, entretanto, falam em totais que ultrapassam os 450 milhões de contas, mas as informações se confundem entre perfis criados ou usuários ativos, contrariando as divulgações oficiais. Seja como for, se real, o total de 400 milhões de perfis vazados neste novo vazamento pode muito bem constituir a totalidade de utilizadores da plataforma ou, pelo menos, a maior parte deles.
Este é o terceiro vazamento de dados do Twitter de que se tem notícia nos últimos meses. Em julho, um volume com dados de 5,4 milhões de usuários começou a ser vendido em fóruns cibercriminosos, sendo liberado gratuitamente depois, em novembro. Na mesma ocasião, um novo banco de dados, desta vez com 17 milhões de contas, veio à tona, todos oriundos da citada brecha já corrigida no app da rede social para Android.
O Canaltech entrou em contato com a representação brasileira do Twitter, mas a empresa não havia respondido até a publicação.