Dados de 5,4 milhões de usuários do Twitter vazaram online

twitter-oferece-anuncios-gratuitos-para-as-marcas-que-usam-sua-plataforma-para-comercializacao

O Twitter sofreu um grande vazamento, em que mais de 5,4 milhões de registros de usuários contendo informações não públicas foram roubadas. Esse vazamento se deu através de uma vulnerabilidade de API corrigida em janeiro. Os dados vazados, agora foram compartilhados gratuitamente em um fórum de hackers.

Vazamento de dados de usuários do Twitter e a exposição em fóruns de hackers

Um vazamento de milhões de registros do Twitter foi divulgado por um pesquisador de segurança, demonstrando como esse bug foi amplamente abusado por agentes de ameaças.

Os dados consistem em informações públicas extraídas, bem como números de telefone privados e endereços de e-mail que não devem ser públicos, mas, agora parecem ser.

A violação de dados

Em julho passado, um agente de ameaças começou a vender informações privadas de mais de 5,4 milhões de usuários do Twitter em um fórum de hackers por US$ 30.000 (cerca de R$ 162 mil).

Embora a maioria dos dados consistisse em informações públicas, como IDs do Twitter, nomes, nomes de login, locais e status verificado, também incluía informações privadas, como números de telefone e endereços de e-mail, por exemplo.

dados-de-54-milhoes-de-usuarios-do-twitter-vazaram-online

Esses dados foram coletados em dezembro de 2021 usando uma vulnerabilidade da API do Twitter divulgada no programa de recompensas de bugs HackerOne, que permitia que as pessoas enviassem números de telefone e endereços de e-mail à API para recuperar o ID do Twitter associado.

Usando esse ID, os agentes de ameaças podem coletar informações públicas sobre a conta para criar um registro de usuário contendo informações privadas e públicas, conforme mostrado abaixo.

dados-de-54-milhoes-de-usuarios-do-twitter-vazaram-online

Não está claro se a divulgação do HackerOne vazou, mas o BleepingComputer foi informado de que vários agentes de ameaças estavam utilizando o bug para roubar informações privadas do Twitter. Depois que o BleepingComputer compartilhou uma amostra dos registros do usuário com o Twitter, a empresa de mídia social confirmou que havia sofrido uma violação de dados usando um bug de API corrigido em janeiro de 2022.

Além dos 5,4 milhões de registros à venda, havia também 1,4 milhão de perfis do Twitter para usuários suspensos coletados por meio de uma API diferente, elevando o total para quase 7 milhões de perfis do Twitter contendo informações privadas.

Em setembro, e agora mais recentemente, em 24 de novembro, os 5,4 milhões de registros do Twitter foram compartilhados gratuitamente em um fórum de hackers.

Esses registros contêm um endereço de e-mail privado ou número de telefone e dados públicos coletados, incluindo o ID da conta no Twitter, nome, nome de tela, status verificado, localização, URL, descrição, contagem de seguidores, data de criação da conta, contagem de amigos, contagem de favoritos, contagem de status e URLs de imagem de perfil.