Durante sete meses, todos souberam de uma vulnerabilidade no Twitter que parecia conceder acesso a dados altamente relevantes. Porém, nada mais havia sido ouvido dela desde janeiro até hoje, quando um hacker teria acessado os dados de 5,4 milhões de usuários, incluindo seus e-mails e números de telefone. Portanto, em resumo, isso significa que os dados de 5,4 milhões de contas do Twitter vazaram, incluindo e-mails e números de telefone.
Ao usar essa vulnerabilidade, um invasor pode encontrar uma conta do Twitter pelo número de telefone/e-mail, mesmo que o usuário tenha proibido isso nas opções de privacidade.
Este hacker atualmente colocou a informação à venda em um fórum online sob o nome de usuário “Devil”. Em sua comunicação, ele afirma ter os dados de 5.485.636 usuários, que incluem tanto usuários comuns, como celebridades ou grandes empresas.
“A vulnerabilidade permite que qualquer parte sem autenticação obtenha um ID do Twitter (que é quase igual a obter o nome de usuário de uma conta) de qualquer usuário enviando um número de telefone/e-mail, mesmo que o usuário tenha proibido essa ação nas configurações de privacidade. O bug existe devido ao processo de autorização utilizado no Android Client do Twitter, especificamente no processo de verificação da duplicação de uma conta do Twitter”.
Dados de 5,4 milhões de contas do Twitter vazaram, incluindo e-mails e números de telefone. Hacker explorou uma vulnerabilidade que já durava pelo menos 7 meses
Até agora, o Twitter não deu muitos detalhes sobre isso, exceto que eles iniciaram uma investigação para esclarecer a forma de acesso aos servidores. Como mencionamos anteriormente, é realmente curioso que o acesso tenha sido obtido por meio de uma vulnerabilidade conhecida há sete meses, que teoricamente havia sido corrigida.
Este bug permitia extrair e-mail e número de telefone de qualquer conta através do cliente Android de uma forma muito simples. Antes desta publicação, o Twitter conseguiu corrigi-lo e até concedeu uma alta recompensa ao usuário que o publicou, chamado zhirinovskiy.
A questão é que neste caso surgem dois cenários: a vulnerabilidade não foi corrigida corretamente, ou é um roubo de informações que ocorreu em janeiro e não foi publicado até hoje. O que parece certo, de acordo com diferentes especialistas, é que as informações mantidas por esse hacker são completamente reais e agora aguardam um novo proprietário.
Atualmente, quem quiser obter os dados desse grande número de contas terá que pagar um total de 30.000 dólares, exatamente o mesmo que quando os dados de milhões de chineses foram vendidos por 10 BTC. No entanto, teremos que esperar o Twitter comentar e dar mais informações sobre esse vazamento de macro.