Um banco de dados publicou on-line mais de 200 milhões de nomes de utilizadores e endereços de e-mail do Twitter. Vários dias após os relatórios iniciais, o Twitter diz que “o conjunto de dados pode não ser correlacionado com o incidente relatado anteriormente ou com quaisquer dados originados de uma exploração dos sistemas do Twitter”.
De acordo com relatórios de pesquisadores de segurança e meios de comunicação, as credenciais foram compiladas a partir de várias violações anteriores do Twitter que datam de 2021. De acordo com o Twitter, no entanto, não existe “nenhuma evidência de que os dados recentemente vendidos foram obtidos por alguma vulnerabilidade dos sistemas do Twitter”.
A sua declaração aborda as informações nos conjuntos de dados apenas dizendo: “Os dados provavelmente são uma recolha de dados já publicados on-line através de diferentes fontes”.
We were recently made aware of reports that Twitter user data was being sold online. After a comprehensive investigation, we found no evidence that this data originated from the exploitation of our systems. Read more here: https://t.co/4LnVG6gzae
— Twitter Support (@TwitterSupport) January 11, 2023
“Este é um dos roubos mais significativos que já vi”, disse Alon Gal, cofundador da empresa israelense de segurança cibernética Hudson Rock, num post a descrever os dados no LinkedI. “Infelizmente irá levar a muitos hackers, phishing direcionado e doxxing.” Os conjuntos de dados não contêm passwords, como especialistas e o Twitter apontam, mas os endereços de e-mail ainda podem ser especialmente úteis para hackers que visam contas específicas.
As estimativas do número exato de utilizadores afetados pela violação variam, em parte devido à tendência de tais despejos de dados em grande escala incluírem registos duplicados. Capturas de ecrã do banco de dados partilhado pelo BleepingComputer mostram que contém vários arquivos de texto listando endereços de e-mail e nomes de utilizadores do Twitter, bem como nomes reais dos utilizadores, contagens de seguidores e datas de criação da conta. A BleepingComputer disse que “confirmou a validade de muitos dos endereços de e-mail listados no ataque” e que o banco de dados estava a ser vendido num fórum de hackers por apenas US$ 2.
Troy Hunt, criador do site de alerta de segurança cibernética Have I Been Pwned, analisou também a violação e partilhou as suas conclusões no Twitter: “Encontrei 211.524.284 endereços de e-mail exclusivos, parece ser exatamente o que foi descrito”. A violação foi adicionada aos sistemas do Have I been Pwned, o que significa que qualquer pessoa pode visitar o site e inserir o seu endereço de e-mail para ver se ele foi incluído no banco de dados.
Ok folks, I know this Twitter data is in broad circulation now and I’ve had many people send it to me in the last 24 hours, I’ll take a good look at it today and work out how to handle it https://t.co/02LH4jrEQ1
— Troy Hunt (@troyhunt) January 4, 2023
A origem do banco de dados parece remontar ao ano de 2021, relata o The Washington Post, quando hackers descobriram uma vulnerabilidade nos sistemas de segurança do Twitter. A falha permitiu que agentes mal-intencionados automatizassem as pesquisas de contas inserindo endereços de e-mail e números de telefone em massa para ver se eles estavam associados a contas do Twitter.
O Twitter divulgou essa vulnerabilidade em agosto de 2022, e afirmou que corrigiu o problema em janeiro daquele ano, após ter sido relatado como um bug. A empresa alegou na época que “não tinha evidências que sugerissem que alguém havia tinha-se aproveitado dessa vulnerabilidade”, mas especialistas em segurança cibernética já tinham localizado bancos de dados de credenciais do Twitter à venda em julho daquele ano.