Violação de dados do Twitter pior do que se pensava

Violação de dados do Twitter pior do que se pensava. Vazamento de registros 5,4 milhões de usuários do Twitter pode ser maior e chegar a 17 milhões de usuários.

No início deste ano, o Twitter confirmou que os dados privados de 5,4 milhões de usuários foram roubados devido a uma vulnerabilidade de API, mas a empresa disse que não tinha “nenhuma evidência” de que foi explorado. Agora, todas essas contas foram expostas em um formulário de hacker, informou o BleepingComputer e um banco de dados contendo e-mails e números de telefone de 5,4 milhões de usuários do Twitter está sendo compartilhado entre vários hackers, em vez de apenas um infrator.

Outro banco de dados, supostamente com registros de até 17 milhões de usuários do Twitter, também foi compilado, aparentemente usando os mesmos métodos, embora ainda não tenha sido lançado online.

Além disso, 1,4 milhão de perfis adicionais do Twitter para usuários suspensos foram compartilhados em particular, e um despejo de dados ainda maior com os dados de “dezenas de milhões” de outros usuários pode ter vindo da mesma vulnerabilidade. O proprietário do fórum de hackers chamado Breached disse ao BleepingComputer que era responsável por explorar a fraqueza (obtida originalmente de outro hacker chamado “Devil”) e despejar os registros do usuário.

Ele disse que também obteve 1,4 milhão de perfis no Twitter para contas suspensas, obtidos por meio de outra API, mas apenas os compartilhou em particular entre alguns indivíduos. Além de tudo isso, o especialista em segurança Chad Loder revelou que dezenas de milhões de registros do Twitter podem ter sido coletados usando a mesma API. Mais uma vez, os dados coletados podem incluir números de telefone privados junto com informações públicas. Loder postou uma amostra editada no Mastodon, já que ele foi banido do Twitter há vários dias por razões desconhecidas. Ele pode conter mais de 17 milhões de registros, disseram ao BleepingComputer.

As violações vazaram números de telefone privados e endereços de e-mail dos usuários, que podem ser usados para phishing e outros golpes. Essas informações também podem ser exploradas para descobrir identidades de contas privadas do Twitter. Como de costume, tenha muito cuidado com quaisquer e-mails ou textos suspeitos que afirmem vir do Twitter – e se você está pensando em usar a autenticação de dois fatores, agora seria um bom momento.

Como aconteceu o vazamento de dados do Twitter

O banco de dados do banco de dados de 5,4 milhões foi lançado no fórum de hacking da web claro Breached.co na semana passada e está disponível para acesso gratuito. Aparentemente, já foi acessado por vários hackers, que passaram detalhes de usuários na dark web.

O Twitter reconheceu o incidente em agosto. “Esse bug resultou de uma atualização em nosso código em junho de 2021”, disse um comunicado da empresa. “Em julho de 2022, soubemos por meio de uma reportagem na imprensa que alguém havia potencialmente aproveitado isso e estava se oferecendo para vender as informações que havia compilado. Depois de analisar uma amostra dos dados disponíveis para venda, confirmamos que um malfeitor se aproveitou do problema antes que ele fosse resolvido.

Outro conjunto de dados contendo um despejo de até 17 milhões de registros do Twitter também está no mercado, de acordo com o pesquisador de segurança Chad Loder. Eles ainda não foram disponibilizados gratuitamente, mas aparentemente estão divididos por códigos de país e área, incluindo Europa, Israel e EUA. O número de registros neste conjunto de dados não foi verificado.

O que está claro é que a técnica foi amplamente explorada, disse Loder. “Parece ter havido vários agentes de ameaças, operando de forma independente, coletando esses dados ao longo de 2021 para números de telefone e e-mails”, explicou Loder . “Os pares de e-mail-twitter foram derivados da execução de grandes bancos de dados existentes de mais de 100 milhões de endereços de e-mail por meio dessa vulnerabilidade de descoberta do Twitter.

Dados do Twitter compartilhados em um fórum de hackers

Em setembro, e agora mais recentemente, em 24 de novembro, os 5,4 milhões de registros do Twitter foram compartilhados gratuitamente em um fórum de hackers. 

5,4 milhões de registros do Twitter vazaram online gratuitamente
5,4 milhões de registros do Twitter vazaram online gratuitamente 
Fonte: BleepingComputer

Pompompurin confirmou ao BleepingComputer que estes são os mesmos dados que estavam à venda em agosto e incluem 5.485.635 registros de usuários do Twitter. Esses logs contêm um endereço de e-mail privado ou número de telefone e dados públicos coletados, incluindo ID da conta do Twitter, nome, nome de tela, status verificado, localização, URL, descrição, contagem de seguidores, contagem de contas na data de criação, contagem de amigos, contagem de favoritos, contagem de status e URLs de fotos de perfil.

Um despejo de dados ainda maior criado em particular

Embora seja preocupante que os agentes de ameaças tenham liberado os 5,4 milhões de registros gratuitamente, um despejo de dados ainda maior foi supostamente criado usando a mesma vulnerabilidade. Esse despejo de dados contém potencialmente dezenas de milhões de registros do Twitter, consistindo em números de telefone pessoais coletados usando o mesmo bug de API e informações públicas, incluindo status verificado, nomes de contas, ID do Twitter, biografia e nome de tela.

A notícia dessa violação de dados mais significativa vem do especialista em segurança Chad Loder, que deu a notícia pela primeira vez no Twitter e foi suspenso logo após sua publicação. Loder posteriormente postou uma amostra editada dessa violação de dados maior no Mastodon . “Acabei de receber evidências de uma violação massiva de dados do Twitter afetando milhões de contas do Twitter na UE e nos EUA. Entrei em contato com uma amostra das contas afetadas e eles confirmaram que a violação de dados é precisa. Essa violação ocorreu não antes de 2021.” Loder compartilhou no Twitter.

Chad Loder compartilhando notícias da violação maior no Mastodon
Chad Loder sharing news of the major Mastodon breach
Source: BleepingComputer

O BleepingComputer obteve um arquivo de amostra desse despejo de dados do Twitter anteriormente desconhecido, que contém 1.377.132 números de telefone para usuários na França.

Desde então, confirmamos com vários usuários nesse vazamento que os números de telefone são válidos, verificando se essa violação de dados adicional é real.

Além disso, nenhum desses números de telefone está presente nos dados originais vendidos em agosto, ilustrando o quão maior foi a violação de dados do Twitter do que o divulgado anteriormente e a grande quantidade de dados de usuários circulando entre os agentes de ameaças.

Pompompurin também confirmou ao BleepingComputer que eles não eram os responsáveis ​​e não sabiam quem criou esse despejo de dados recém-descoberto, indicando que outras pessoas estavam usando essa vulnerabilidade da API.

O BleepingComputer descobriu que esse despejo de dados recém-descoberto consiste em vários arquivos divididos por códigos de país e área, incluindo Europa, Israel e EUA. O site foi informados de que consiste em mais de 17 milhões de registros, mas não puderam confirmar isso de forma independente.

Como esses dados podem ser usados ​​para ataques de phishing direcionados para obter acesso às credenciais de login, é fundamental examinar qualquer e-mail que afirme vir do Twitter. Se você receber um e-mail alegando que sua conta foi suspensa, há problemas de login ou você está prestes a perder seu status de verificado e solicita que você faça login em um domínio que não seja do Twitter, ignore os e-mails e exclua-os como provavelmente são tentativas de phishing.

Fonte: BleepingComputer

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!