O Twitter sofreu um grande vazamento, em que mais de 5,4 milhões de registros de usuários contendo informações não públicas foram roubadas. Esse vazamento se deu através de uma vulnerabilidade de API corrigida em janeiro. Os dados vazados, agora foram compartilhados gratuitamente em um fórum de hackers.
Vazamento de dados de usuários do Twitter e a exposição em fóruns de hackers
Um vazamento de milhões de registros do Twitter foi divulgado por um pesquisador de segurança, demonstrando como esse bug foi amplamente abusado por agentes de ameaças.
Os dados consistem em informações públicas extraídas, bem como números de telefone privados e endereços de e-mail que não devem ser públicos, mas, agora parecem ser.
A violação de dados
Em julho passado, um agente de ameaças começou a vender informações privadas de mais de 5,4 milhões de usuários do Twitter em um fórum de hackers por US$ 30.000 (cerca de R$ 162 mil).
Embora a maioria dos dados consistisse em informações públicas, como IDs do Twitter, nomes, nomes de login, locais e status verificado, também incluía informações privadas, como números de telefone e endereços de e-mail, por exemplo.
Esses dados foram coletados em dezembro de 2021 usando uma vulnerabilidade da API do Twitter divulgada no programa de recompensas de bugs HackerOne, que permitia que as pessoas enviassem números de telefone e endereços de e-mail à API para recuperar o ID do Twitter associado.
Notícias Relacionadas
Segurança Ubuntu
Ubuntu corrige vulnerabilidades de memória no Vim: atualize agora
Duas vulnerabilidades foram encontradas no Vim, afetando várias versões do Ubuntu. Para proteger seu sistema, atualize para a versão mais recente e evite riscos de execução de código ou negação de serviço.
Alerta urgente
Alerta urgente: CISA recomenda correção de vulnerabilidades até setembro
A CISA emitiu um alerta sobre três vulnerabilidades críticas em softwares populares, como ImageMagick e SonicWall SonicOS. As empresas devem corrigir essas falhas até o final de setembro para evitar ataques cibernéticos.
Usando esse ID, os agentes de ameaças podem coletar informações públicas sobre a conta para criar um registro de usuário contendo informações privadas e públicas, conforme mostrado abaixo.
Não está claro se a divulgação do HackerOne vazou, mas o BleepingComputer foi informado de que vários agentes de ameaças estavam utilizando o bug para roubar informações privadas do Twitter. Depois que o BleepingComputer compartilhou uma amostra dos registros do usuário com o Twitter, a empresa de mídia social confirmou que havia sofrido uma violação de dados usando um bug de API corrigido em janeiro de 2022.
Além dos 5,4 milhões de registros à venda, havia também 1,4 milhão de perfis do Twitter para usuários suspensos coletados por meio de uma API diferente, elevando o total para quase 7 milhões de perfis do Twitter contendo informações privadas.
Em setembro, e agora mais recentemente, em 24 de novembro, os 5,4 milhões de registros do Twitter foram compartilhados gratuitamente em um fórum de hackers.
Esses registros contêm um endereço de e-mail privado ou número de telefone e dados públicos coletados, incluindo o ID da conta no Twitter, nome, nome de tela, status verificado, localização, URL, descrição, contagem de seguidores, data de criação da conta, contagem de amigos, contagem de favoritos, contagem de status e URLs de imagem de perfil.
