Twitter confirma falha que permitiu roubar dados pessoais de 5.4 milhões de utilizadores
O Twitter confirmou recentemente uma nova falha de segurança, que terá levado ao roubo de dados pessoais associados a mais de 5.4 milhões de contas da plataforma. A falha zero-day terá sido explorada para roubar emails e números de telefone de milhares de utilizadores.
O caso começou o mês passado, quando um hacker colocou à venda em portais da Dark Web um conjunto de dados pessoais associados com 5.4 milhões de perfis do Twitter, no qual o mesmo indicava que estes dados tinham sido recolhidos devido a uma vulnerabilidade na plataforma.
A falha permitia associar números de telefone com contas de email e IDs da plataforma, que no final iriam levar à ligação direta com contas do Twitter. Isto terá permitido a criação de uma lista com dados associados aos 5.4 milhões de contas da plataforma, que incluem o nome de utilizador do Twitter, a conta de email e o número de telefone, juntamente com dados das contas em si – como contagem de seguidores.
Hoje, o Twitter confirmou que estes dados foram recolhidos através da exploração de uma falha na plataforma, que tinha sido inicialmente reportada em Janeiro de 2022, como parte do programa HackerOne.
A falha terá resultado de uma atualização do código da plataforma realizada em Junho de 2021, portanto a mesma terá ficado ativa desde este período até meados de Janeiro de 2022. Na altura, a empresa indicou não ter indicação de que a falha tinha sido usada para atividades ilícitas.
No entanto, as novas informações apontam que, no final, a falha terá sido usada para a recolha dos dados que agora se encontram à venda na Dark Web. Apesar de a plataforma não conseguir indicar os dados exatos dos utilizadores afetados, a venda feita na Dark Web indica a existência de 5.485.636 utilizadores do Twitter.