Os dados de quase 5.4 milhões de contas do Twitter foram alegadamente colocados para download num portal de hacking. Estes dados terão sido recolhidos de uma falha que a plataforma teria na sua API, e que foi inicialmente corrigida em Janeiro deste ano.
Por entre a informação que teria sido recolhida encontra-se dados privados das contas, como o número de telefone e email associado com as mesmas, e que terão sido recolhidos da plataforma usando a falha da API. A restante informação diz respeito ao scraping de dados sobre a rede social.
Apesar de a falha ter sido corrigida em Janeiro, e desde então terem existido casos de utilizadores a venderem estes dados, a gravidade agora encontra-se no facto que a lista de dados encontra-se disponível para todos de forma gratuita. Esta lista acredita-se que já estaria à venda em Agosto deste ano, mas agora foi colocada gratuitamente para todos.
Dos registos encontram-se dados como os nomes de utilizador, nomes de apresentação públicos, biografias, localizações, emails e números de telefone (estes dois últimos informação que deveria encontrar-se privada na plataforma).
Os dados incluem ainda outra informação pública das contas, como imagens de utilizador, estado de verificação da conta e outros detalhes.
No entanto, esta pode não ser a única base de dados que estará disponível contendo informações dos utilizadores do Twitter. De acordo com o especialista em segurança Chad Loder, existem indicações que mais contas podem ter sido comprometidas numa segunda lista de dados, associada com utilizadores nos EUA e Europa, e que terá sido criada em 2021.
Tal como a lista anterior, esta possui também informações associadas com as contas dos utilizadores, incluindo o número de telefone e email associado com as contas.
De relembrar que a falha da API do Twitter foi reportada inicialmente em Dezembro de 2021 pelo HackerOne, mas apenas foi oficialmente corrigida pelo Twitter em Janeiro de 2022. Acredita-se que os dados agora revelados dizem respeito à exploração desta falha.
Com esta lista, existe o potencial dos dados existentes na mesma serem usados para campanhas de phishing diversas. Um atacante pode usar o número de telefone das vitimas para associar o mesmo com as suas contas no Twitter, enviando alertas falsos sobre as contas – e dando mais credibilidade aos ataques.
Nenhum comentário
Seja o primeiro!