A violação massiva de dados sofrida pelo Twitter que expôs e-mails e números de telefone de seus clientes pode ter impactado mais de cinco milhões de usuários.
No final de julho, um agente de ameaças vazou dados de 5,4 milhões de contas do Twitter que foram obtidas explorando uma vulnerabilidade corrigida na popular plataforma de mídia social.
O agente da ameaça colocou à venda os dados roubados no popular fórum de hackers Breached Forums. Em janeiro, um relatório publicado no Hacker afirmou a descoberta de uma vulnerabilidade que pode ser explorada por um invasor para encontrar uma conta do Twitter pelo número de telefone/e-mail associado, mesmo que o usuário tenha optado por impedir isso nas opções de privacidade.
“A vulnerabilidade permite que qualquer parte sem qualquer autenticação obtenha um ID do Twitter (que é quase igual a obter o nome de usuário de uma conta) de qualquer usuário enviando um número de telefone/e-mail, mesmo que o usuário tenha proibido essa ação nas configurações de privacidade. O bug existe devido ao processo de autorização usado no Android Client do Twitter, especificamente no processo de verificação da duplicação de uma conta do Twitter.” Lê a descrição no relatório enviado por zhirinovskiy através da plataforma de recompensas de bugs HackerOne. “Esta é uma ameaça séria, pois as pessoas podem não apenas encontrar usuários que restringiram a capacidade de serem encontrados por e-mail/número de telefone, mas qualquer invasor com conhecimento básico de script/codificação pode enumerar uma grande parte da base de usuários do Twitter indisponível. para enumeração anterior (crie um banco de dados com telefone/email para conexões de nome de usuário). Essas bases podem ser vendidas a terceiros maliciosos para fins de publicidade ou para fins de marcação de celebridades em diferentes atividades maliciosas”
O vendedor alegou que o banco de dados continha dados (ou seja, e-mails, números de telefone) de usuários, desde celebridades até empresas. O vendedor também compartilhou uma amostra de dados na forma de um arquivo csv.
Em agosto, o Twitter confirmou que a violação de dados foi causada pela falha de dia zero, agora corrigida, enviada pelos pesquisadores zhirinovskiy por meio da plataforma de recompensas de bugs HackerOne e que ele recebeu uma recompensa de $ 5.040.
“Queremos informá-lo sobre uma vulnerabilidade que permitiu que alguém inserisse um número de telefone ou endereço de e-mail no fluxo de login na tentativa de saber se essa informação estava vinculada a uma conta existente do Twitter e, em caso afirmativo, qual conta específica .” lê o comunicado do Twitter. “Em janeiro de 2022, recebemos um relatório por meio de nosso programa de recompensas de bugs sobre uma vulnerabilidade que permitia que alguém identificasse o e-mail ou número de telefone associado a uma conta ou, se soubesse o e-mail ou número de telefone de uma pessoa, poderia identificar sua conta no Twitter, se existisse”, continua a empresa de mídia social.
“Esse bug resultou de uma atualização em nosso código em junho de 2021. Quando soubemos disso, imediatamente investigamos e corrigimos. Naquela época, não tínhamos evidências que sugerissem que alguém havia se aproveitado da vulnerabilidade”.
Nesta semana, o site 9to5mac.com alegou que a violação de dados foi mais do que relatada inicialmente pela empresa. O site informa que vários agentes de ameaças exploraram a mesma falha e os dados disponíveis no submundo do cibercrime têm fontes diferentes.
“Uma violação massiva de dados do Twitter no ano passado, expondo mais de cinco milhões de números de telefone e endereços de e-mail , foi pior do que o relatado inicialmente. Foram mostradas evidências de que a mesma vulnerabilidade de segurança foi explorada por vários atores mal-intencionados, e os dados hackeados foram colocados à venda na dark web por várias fontes.” lê o post publicado por 9to5mac.com
As reivindicações do 9to5Mac são baseadas na disponibilidade do conjunto de dados que continha as mesmas informações em um formato diferente oferecido por um agente de ameaça diferente. A fonte disse ao site que o banco de dados era “apenas um de vários arquivos que eles viram”. Parece que as contas afetadas são apenas aquelas com“ Detecção | Opção de telefone (difícil de encontrar nas configurações do Twitter)” habilitada no final de 2021.
O arquivo visto pelo 9to5Mac inclui dados pertencentes a usuários do Twitter no Reino Unido, quase todos os países da UE e partes dos EUA.
“Obtive vários arquivos, um por código de país de número de telefone, contendo o número de telefone <-> emparelhamento de nome de conta do Twitter para todo o espaço de número de telefone do país de +XX 0000 a +XX 9999.” a fonte disse ao 9to5Mac. “Qualquer conta do Twitter que tenha o recurso Descoberta | A opção de telefone habilitada no final de 2021 foi listada no conjunto de dados.”
Os especialistas especulam que vários agentes de ameaças tiveram acesso ao banco de dados do Twitter e o combinaram com dados de outras violações de segurança.
O pesquisador de segurança por trás da conta @chadloder (Twitter após a divulgação da notícia) disse ao 9to5Mac que “os pares de e-mail-twitter foram derivados da execução de grandes bancos de dados existentes de mais de 100 milhões de endereços de e-mail por meio dessa vulnerabilidade de descoberta do Twitter”.
O pesquisador disse ao site que entraria em contato com o Twitter para comentar, mas toda a equipe de relações com a mídia deixou a empresa.
Fonte: Security Affairs
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
