Caso você não tenha acompanhado de perto os feeds de notícias de hackers (e não o culpamos se não o fez), você pode ter perdido um anúncio em janeiro de HackerOne detalhando uma vulnerabilidade de segurança no código do Twitter. A vulnerabilidade permitiu que hackers roubassem números de telefone e e-mails de usuários.
Bem, uma lista de milhões de usuários do Twitter acabou de aparecer à venda na dark web.
Vídeos recomendados
Restore Privacy, um vigilante de segurança e privacidade, relatou a lista de 5,4 milhões de e-mails e números de telefone de usuários do Twitter à venda em um site obscuro chamado Breached Forums. O hacker que vende a lista afirma que ela contém dados privados de “celebridades, empresas, aleatórios, OGs, etc.”
A vulnerabilidade descoberta em janeiro e a venda de conjuntos de dados pessoais do Twitter estão intimamente ligadas para serem mera coincidência.
Em janeiro, o usuário do HackerOne, zhirinovskiy, enviou um relatório de bug que encontrou ao analisar a base de código do Twitter. Foi uma exploração que poderia permitir que um agente de ameaça acessasse e-mails e números de telefone de usuários do Twitter. Embora não houvesse nenhum sinal de violação de dados na época, zhirinovskiy estava preocupado.
“Esta é uma ameaça séria”, disse zhirinovskiy em seu relatório de bug. “Como as pessoas podem encontrar não apenas usuários que restringiram a capacidade de serem encontrados por e-mail/número de telefone, mas também qualquer invasor com um conhecimento básico de script/codificação pode enumerar uma grande parte da base de usuários do Twitter indisponível para enumeração anterior (crie um banco de dados com telefone/e-mail para nome de usuário conexões).”
“Obrigado pelo seu relatório @zhirinovksiy”, respondeu um funcionário do Twitter chamado bugtriage_simon ao relatório. “Estamos investigando isso e manteremos vocês atualizados quando tivermos informações adicionais. Obrigado por pensar na segurança do Twitter.”
A resposta veio em 6 de janeiro, cinco dias depois de zhirinovskiy publicar seu relatório.
Em 13 de janeiro, o Twitter encerrou a reportagem e comentou: “Consideramos que esse problema foi resolvido agora. Você pode confirmar?
“Posso confirmar que o problema foi resolvido”, respondeu zhirinovskiy no mesmo dia. O Twitter o recompensou por seus esforços.
A julgar pela troca de comentários sobre o relatório inicial do bug, o Twitter demorou quase duas semanas para corrigir a vulnerabilidade. Em algum momento, um agente de ameaça entrou furtivamente e roubou 5,4 milhões de conjuntos de dados. Se isso foi feito antes de zhirinovskiy descobrir a exploração ou depois de publicá-la, permanece desconhecido. O que se sabe é que esses e-mails e números de telefone já estão à venda.
Se seus dados foram incluídos na violação, você receberá um aumento no número de e-mails de spam e ligações de golpistas. Recomendamos usar Ocultar meu e-mail da Apple se você tiver iPhone. Confira também nossas dicas para aumentando sua privacidade online.
Recomendações dos Editores
- Hackers roubaram US$ 1,5 milhão usando dados de cartão de crédito comprados na dark web
- Este site hacker vendeu dados de 24 milhões de pessoas – até agora
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.