Twitter | Novo vazamento expõe milhões de usuários

Dois vazamentos de dados surgiram neste final de semana para assombrar ainda mais a já assustadora história do Twitter nestas últimas semanas. Um volume antigo e já conhecido com 5,4 milhões de registros, que vinha sendo vendido em fóruns cibercriminosos, foi liberado de graça, enquanto outro, que pode conter mais de 17 milhões de entradas, teria ainda mais informações e até mesmo dados privados de usuários.

• WhatsApp | Telefones de oito milhões de brasileiros vazam na internet
• Dados pessoais de brasileiros estão entre os mais baratos do mundo no cibercrime

Ambos seriam decorrentes de uma falha na API da rede social, em seu aplicativo para Android, que começou a ser explorada por criminosos no fim do ano passado e veio à tona em janeiro, quando foi corrigida. No novo vazamento, estão números de telefone dos usuários, que não deveriam ser públicos, assim como outras informações disponíveis a todos, como estado de verificação da conta, nomes de usuário, IDs, @s e bios.

O volume estaria sendo negociado em fóruns privados de cibercriminosos, atingindo principalmente usuários dos Estados Unidos e Europa. O alerta foi dado pelo pesquisador em segurança Chad Loder por meio da própria rede social, gerando o banimento de seu perfil no Twitter; o site Bleeping Computer também confirmou a autenticidade do volume a partir de uma amostra de 1,3 milhão de números de telefone de usuários, todos da França.

De acordo com a imprensa, o banco de dados vem organizado de acordo com país e código de área, como forma de facilitar golpes direcionados. Além dos EUA e Europa, Israel também estaria alto na lista de usuários comprometidos; o Brasil não é citado nas análises, sem confirmação de que informações de nossos conterrâneos estão ou não no volume.

Na dúvida, é melhor considerar que sim e, acima de tudo, que as informações são recentes, tendo cerca de um ano de idade. A partir de bancos desse tipo, podem ser detonadas campanhas de phishing ou tentativas de fraude ou roubo de identidade, bem como ataques mais direcionados a comunidades, territórios ou grupos localizados de usuário que façam parte do vazamento.

Novo comprometimento no Twitter expande exposição anterior

A imprensa internacional também foi capaz de confirmar que, pelo menos no que toca a amostra, todos os números de telefone não estavam presentes em um vazamento anterior. Em julho, veio à público a informação de que dados de 5,4 milhões de usuários do Twitter estavam sendo vendidos em fóruns cibercriminosos; neste final de semana, o mesmo volume foi liberado de graça.

Ele consiste em e-mails e telefones de utilizadores, que a partir da vulnerabilidade na API do Twitter para Android, puderam ser associados a identificadores de contas na rede social. Com isso, também vieram informações como localização, métricas dos perfis, imagens hospedadas, nomes de usuário, IDs e @s.

Assim, novamente, fica constituído um volume organizado que pode ser usado na detonação de golpes de phishing e engenharia social, ainda que todos os dados sejam essencialmente públicos. O Bleeping Computer aponta, ainda, que o volume já havia circulado antes de maneira mais ampla, com uma primeira liberação ocorrendo em setembro; agora, o banco aparece na superfície da web, em um fórum cibercriminoso voltado a comprometimentos assim.

À época da exposição original, o Twitter informou ao Canaltech que estava analisando os dados vazados e trabalhando para proteger as contas comprometidas; a empresa também confirmou que a abertura que deu origem ao incidente foi investigada e corrigida. A reportagem voltou a entrar em contato com a rede social nesta segunda-feira (28), mas não recebeu resposta até a publicação.

Aos usuários, a recomendação é de cautela ao receber mensagens ou respostas na rede social, principalmente se elas vierem de usuários conhecidos e conterem links ou alertas. Avisos sobre falsos banimentos, restrições ou perda do selo de verificado costumam ser usados em campanhas de phishing para roubar dados de usuários do Twitter, com o usuário devendo ignorar tais contatos.

E-mails e mensagens de texto que cheguem em nome da rede social também devem ser encarados com atenção, assim como outras comunicações que envolvam promoções ou ofertas. Preencha cadastros, faça downloads ou entregue dados, apenas, quando tiver certeza absoluta de que a solicitação recebida é legítima; caso desconfie que o contato é real mas não esteja absolutamente certo disso, procure meios de atendimento por conta própria.

Fonte: Bleeping Computer