5,4 milhões de contas do Twitter a venda em fórum hacker

29/08/2022 mindsecblog Notícias 0

5,4 milhões de contas do Twitter a venda em fórum hacker. Twitter investiga autenticidade das contas e embora tenha corrigido a vulnerabilidade que deu origem ao vazamento, dados já se econtram a venda mas darkweb.

Uma vulnerabilidade verificada no Twitter de janeiro foi explorada por um agente de ameaças para obter dados de contas supostamente de 5,4 milhões de usuários. Embora o Twitter tenha corrigido a vulnerabilidade desde então, o banco de dados adquirido a partir dessa exploração agora está sendo vendido em um popular fórum de hackers

O Twitter disse que está investigando a autenticidade de um lote de informações conectadas a 5,4 milhões de contas que estão sendo vendidas em um fórum de hackers.

Em janeiro, foi feito um relatório no HackerOne de uma vulnerabilidade que permite que um invasor adquira o número de telefone e/ou endereço de e-mail associado às contas do Twitter, mesmo que o usuário tenha ocultado esses campos nas configurações de privacidade.

O bug era específico para o cliente Android do Twitter e ocorreu com o processo de autorização do Twitter.

O usuário do HackerOne “zhirinovskiy” enviou o relatório de bug em 1º de janeiro deste ano. Ele descreveu as possíveis consequências dessa vulnerabilidade como uma ameaça séria que pode ser explorada por agentes de ameaças.

Esta é uma ameaça séria, pois as pessoas podem não apenas encontrar usuários que restringiram a capacidade de serem encontrados por e-mail/número de telefone, mas qualquer invasor com conhecimento básico de script/codificação pode enumerar uma grande parte da base de usuários do Twitter indisponível para enumeração anterior ( crie um banco de dados com telefone/e-mail para conexões de nome de usuário ). Tais bases podem ser vendidas a partes mal-intencionadas para fins publicitários ou para fins de identificação de celebridades em diferentes atividades maliciosas

– Usuário do HackerOne zhirinovskiy

O Twitter reconheceu o problema em 6 de janeiro, pagou uma recompensa de US$ 5.040 e resolveu a vulnerabilidade em 13 de janeiro. O pesquisador confirmou que a vulnerabilidade foi corrigida no mesmo dia.

A exploração dessa vulnerabilidade com o cliente Android do Twitter é descrita a seguir no relatório do HackerOne:

A vulnerabilidade permite que qualquer parte sem autenticação obtenha um ID do twitter (que é quase igual a obter o nome de usuário de uma conta) de qualquer usuário enviando um número de telefone/e-mail, mesmo que o usuário tenha proibido essa ação nas configurações de privacidade . O bug existe devido ao processo de autorização utilizado no Android Client do Twitter, especificamente no processo de verificação da duplicação de uma conta do Twitter.
– Usuário do HackerOne zhirinovskiy

Hacker lista banco de dados de 5,4 milhões de usuários do Twitter à venda

Exatamente como o usuário do HackerOne zhirinovskiy descreveu no relatório inicial em janeiro, um agente de ameaças agora está vendendo os dados supostamente adquiridos dessa vulnerabilidade.

O pessoal da Restore Privacy notou novos usuários vendendo o banco de dados do Twitter no Breached Forums, o famoso fórum de hackers que ganhou atenção internacional no início deste mês de julho com uma violação de dados expondo mais de 1 bilhão de residentes chineses.

A postagem ainda estava ativa com o banco de dados do Twitter supostamente composto por 5,4 milhões de usuários à venda. O vendedor no fórum de hackers usa o nome de usuário “devil” e afirma que o conjunto de dados inclui “Celebridades, empresas, aleatórios, OGs, etc”.

Fonte: RestorePrivacy.com

A RestorePrivacy verificou com o hacker “devil” que as informações no banco de dados são legítimas e foi informado de que estão vendendo por “nada inferior a 30k” e também apontou que ele foi extraído através da vulnerabilidade do relatório HackerOne.

O usuário do Breach Forums que vende o banco de dados também postou uma amostra dos dados.

Análise e verificação da amostra de dados

A Restore Privacy baixou o banco de dados de amostra para verificação e análise. Inclui pessoas de todo o mundo, com informações de perfil público, bem como o e-mail ou número de telefone do usuário do Twitter usado com a conta.

Abaixo estão duas amostras do banco de dados que examinamos. Todas as amostras que analisamos correspondem a pessoas do mundo real que podem ser facilmente verificadas com perfis públicos no Twitter.

O vendedor do banco de dados disse ao RestorePrivacy que todas as informações já foram divulgadas no relatório do HackerOne. O vendedor está pedindo pelo menos US $ 30.000 pelo banco de dados, que agora está disponível devido à “incompetência do Twitter” de acordo com o vendedor.

Na sexta-feira, 22 de julho, um porta-voz do Twitter disse ao The Record que a empresa está “revisando os dados mais recentes para verificar a autenticidade das alegações e garantir a segurança das contas em questão”.

“Recebemos um relatório deste incidente há vários meses por meio de nosso programa de recompensas de bugs, imediatamente investigamos minuciosamente e corrigimos a vulnerabilidade. Como sempre, estamos comprometidos em proteger a privacidade e a segurança das pessoas que usam o Twitter”, disse o porta-voz do Twitter.

“Somos gratos à comunidade de segurança que se engaja em nosso programa de recompensas por bugs para nos ajudar a identificar potenciais vulnerabilidades como essa. Estamos analisando os dados mais recentes para verificar a autenticidade das reivindicações e garantir a segurança das contas em questão.”

O Twitter não respondeu aos pedidos de comentários sobre o que seria feito para as contas em questão, uma vez que confirmam que o banco de dados tem informações legítimas

Fonte: Restore Privacy & The Record