Existe a possibilidade que 5.4 milhões de utilizadores do Twitter possam ter os seus dados de contas na plataforma comprometidos, tendo em conta uma recente falha de segurança que teria sido descoberta sobre a mesma.
De acordo com o portal RestorePrivacy, uma vulnerabilidade sobre a plataforma do Twitter, que teria sido descoberta em Janeiro deste ano, terá sido usada para recolher informação de quase 5.4 milhões de contas do Twitter, sendo que estes dados encontram-se agora à venda na Dark Web.
A vulnerabilidade foi reportada ao Twitter pela plataforma HackerOne, em Janeiro, sendo que a mesma permitia aos atacantes adquirir o número de telefone e o email associado a virtualmente qualquer conta da plataforma. Isto aplica-se mesmo às contas que teriam indicado para ocultar esses dados do formato público.
A falha estaria relacionada com a aplicação para Android do Twitter, e na forma como esta realizava a validação dos dados de login no serviço. A falha foi reportada pelo utilizador “zhirinovskiy”, no dia 1 de Janeiro, classificando a mesma de bastante grave se nas mãos erradas.
Entre a descrição da falha encontra-se a possibilidade que os atacantes poderiam criar uma base de dados com milhões de contas e dados sensíveis de utilizadores do Twitter, virtualmente de qualquer conta.
Poucos dias depois, o Twitter terá validado a falha, e recompensado zhirinovskiy com um prémio de 5040 dólares, indicando ainda que estaria a ser trabalhada a resolução do problema. No entanto, parece que a correção da falha não veio a tempo de evitar o pior.
MAIS: Twitter perde dinheiro e aponta o dedo a Elon Musk
Recentemente foi colocado num portal da dark web uma base de dados do Twitter, contendo 5.4 milhões de contas da plataforma e informações relativas às mesmas. O leak indica que entre os dados recolhidos encontra-se o nome de utilizador da conta, email e número de telefone – ou seja, basicamente a informação que se teria acesso através da exploração da falha anterior.
O autor do leak afirma que existem contas de várias personalidades e contas de interesse. Os dados que foram partilhados pelo autor do leak a algumas fontes também validam que os dados são efetivamente reais.
O criador da leak encontra-se a vender esta base de dados por 30.000 dólares, sendo que ainda se desconhecem detalhes sobre se a mesma terá chegado a ser vendida a alguma entidade.
O Twitter já confirmou que se encontra a investigar a falha, analisando os dados roubados, mas a investigação poderá ainda demorar algum tempo até trazer resultados concretos.
