Twitter corrigiu um bug em janeiro que expôs os dados de 5,4 milhões de usuários

O Twitter anunciou que corrigiu um bug de segurança devido ao qual os invasores coletaram dados em 5,4 milhões de contas da plataforma – o banco de dados foi colocado à venda em um dos sites de sombra dos cibercriminosos. A vulnerabilidade permitia especificar um número de telefone ou endereço de e-mail e descobrir se alguma conta de rede social estava vinculada a eles.

Fonte da imagem: Photo Mix / pixabay.com

A vulnerabilidade surgiu ao atualizar o código em junho de 2021, especificou a administração da plataforma. As informações sobre isso foram recebidas em janeiro de 2022 – o erro foi rapidamente identificado e corrigido, e o especialista que relatou o problema recebeu uma recompensa de US$ 6.000. O problema foi descrito como uma “séria ameaça” aos usuários – a vulnerabilidade poderia ser usada para criar um banco de dados que incluiria uma parcela significativa dos usuários do Twitter. Precedentes já aconteceram antes: em 2019, o especialista conseguiu combinar 17 milhões de números de telefone com contas de serviço.

Infelizmente, o problema ficou conhecido tarde demais: nos seis meses desde sua criação, os hackers conseguiram tirar proveito da vulnerabilidade e coletaram um banco de dados de endereços de e-mail e números de telefone – um total de 5,4 milhões de registros. O fato de o banco de dados ter sido colocado à venda só foi descoberto no Twitter em julho: os especialistas da empresa estudaram uma amostra dos dados apresentados e confirmaram que os invasores aproveitaram a vulnerabilidade antes que ela fosse descoberta oficialmente. A plataforma se comprometeu a notificar individualmente os usuários afetados pelo incidente.