Ótimo, agora nossos dados do Twitter estão à venda na dark web
Caso você não tenha acompanhado de perto os feeds de notícias de hackers (e não o culpamos se não o fez), você pode ter perdido um anúncio em janeiro do HackerOne detalhando uma vulnerabilidade de segurança no código do Twitter. A vulnerabilidade permite que hackers roubem números de telefone e e-mails de usuários.
Bem, uma lista de milhões de usuários do Twitter acabou de aparecer à venda na dark web.
O Restore Privacy, um órgão de segurança e privacidade, relatou a lista de 5,4 milhões de e-mails e números de telefone de usuários do Twitter à venda em um site da dark web chamado Breached Forums. O hacker que vende a lista afirma que contém os dados privados de “Celebridades, para Empresas, aleatórios, OGs, etc.”
A vulnerabilidade encontrada em janeiro e a venda de conjuntos de dados pessoais do Twitter estão intimamente ligadas para serem mera coincidência.
Em janeiro, o usuário do HackerOne, zhirinovskiy, enviou um relatório de bug que encontrou ao analisar a base de código do Twitter. Era uma exploração que poderia permitir que um agente de ameaças acessasse os e-mails e números de telefone dos usuários do Twitter. Embora não houvesse sinal de violação de dados na época, zhirinovskiy estava preocupado.
“Esta é uma ameaça séria”, disse zhirinovskiy em seu relatório de bug. “Como as pessoas podem não apenas encontrar usuários que restringiram a capacidade de serem encontrados por e-mail/número de telefone, mas qualquer invasor com conhecimento básico de script/codificação pode enumerar uma grande parte da base de usuários do Twitter indisponível para enumeração anterior (criar um banco de dados com telefone/e-mail para conexões de nome de usuário).”
“Obrigado pelo seu relatório @zhirinovksiy”, um funcionário do Twitter chamado bugtriage_simon respondeu ao relatório. “Estamos analisando isso e manteremos vocês atualizados quando tivermos informações adicionais. Obrigado por pensar na segurança do Twitter.”
A resposta veio em 6 de janeiro, cinco dias depois que zhirinovskiy postou seu relatório.
Em 13 de janeiro, o Twitter encerrou o relatório e comentou: “Consideramos que esse problema foi corrigido agora. Você pode, por favor, confirmar?”
“Posso confirmar que o problema foi corrigido”, respondeu zhirinovskiy no mesmo dia. O Twitter o recompensou por seus esforços.
A julgar pela troca de comentários no relatório inicial do bug, levou quase duas semanas para o Twitter corrigir a vulnerabilidade. Em algum momento, um agente de ameaças entrou furtivamente e roubou 5,4 milhões de conjuntos de dados. Se isso foi feito antes de zhirinovskiy descobrir o exploit ou depois que ele postou, permanece desconhecido. O que se sabe é que esses e-mails e números de telefone já estão à venda.
Se seus dados foram incluídos na violação, você pode esperar um aumento nos e-mails de spam e chamadas de golpistas. Recomendamos usar o Hide My Email da Apple se você tiver um iPhone. Além disso, confira nossas dicas para aumentar sua privacidade online .
