Twitter corrige bug de segurança que expôs pelo menos 5,4 milhões de contas – TechCrunch

O Twitter diz que corrigiu uma vulnerabilidade de segurança que permitiu que os agentes de ameaças compilassem informações de 5,4 milhões de contas do Twitter, que foram listadas para venda em um fórum de crimes cibernéticos conhecido.

A vulnerabilidade permitia a qualquer pessoa inserir um número de telefone ou endereço de e-mail de um usuário conhecido e saber se ele estava vinculado a uma conta existente do Twitter, potencialmente expondo as identidades de contas pseudônimas.

Em um declaração rápida publicado na sexta-feira, o gigante dos microblogs disse: “se alguém enviasse um endereço de e-mail ou número de telefone aos sistemas do Twitter, os sistemas do Twitter diriam à pessoa a qual conta do Twitter os endereços de e-mail ou número de telefone enviados estavam associados, se houver”.

O Twitter disse que corrigiu o bug em janeiro – seis meses depois que o bug foi inicialmente introduzido em sua base de código – após um relatório de recompensa de bug por um pesquisador de segurança, que recebeu US $ 6.000 por divulgar a vulnerabilidade.

De acordo com o relatório de recompensas de bugs, a vulnerabilidade representava uma “séria ameaça” para usuários que possuem contas privadas ou pseudônimas e poderia ser usada para “criar um banco de dados” ou enumerar “uma grande parte da base de usuários do Twitter”. É semelhante a uma vulnerabilidade descoberta no final de 2019 que permitiu que um pesquisador de segurança associasse 17 milhões de números de telefone a contas do Twitter.

Mas o aviso do pesquisador veio tarde demais. Os hackers já haviam explorado a vulnerabilidade durante esse período de seis meses para criar um banco de dados de endereços de e-mail e números de telefone de 5,4 milhões de contas do Twitter.

O Twitter disse que soube da exploração por meio de uma reportagem não especificada da imprensa em julho, que encontrou uma lista em um fórum de crimes cibernéticos alegando ter dados de usuários “de celebridades a empresas” e OGs, referindo-se a mídias sociais e jogos personalizados ou altamente procurados. nomes de usuário.

“Depois de analisar uma amostra dos dados disponíveis para venda, confirmamos que um mau ator se aproveitou do problema antes de ser resolvido”, disse o Twitter. “Vamos notificar diretamente os proprietários de contas que podemos confirmar que foram afetados por esse problema.”

É o mais recente incidente de segurança a atingir o Twitter nos últimos anos. Em maio, o Twitter concordou em pagar US$ 150 milhões em um acordo com a Federal Trade Commission depois que a empresa usou indevidamente números de telefone e endereços de e-mail, que os usuários enviaram para configurar a autenticação de dois fatores, para publicidade direcionada.

Leave a Comment