5.4 milhões de dados privados de utilizadores no Twitter colocados online
Os dados de quase 5.4 milhões de contas do Twitter foram alegadamente colocados para download num portal de hacking. Estes dados terão sido recolhidos de uma falha que a plataforma teria na sua API, e que foi inicialmente corrigida em Janeiro deste ano.
Por entre a informação que teria sido recolhida encontra-se dados privados das contas, como o número de telefone e email associado com as mesmas, e que terão sido recolhidos da plataforma usando a falha da API. A restante informação diz respeito ao scraping de dados sobre a rede social.
Apesar de a falha ter sido corrigida em Janeiro, e desde então terem existido casos de utilizadores a venderem estes dados, a gravidade agora encontra-se no facto que a lista de dados encontra-se disponível para todos de forma gratuita. Esta lista acredita-se que já estaria à venda em Agosto deste ano, mas agora foi colocada gratuitamente para todos.
Dos registos encontram-se dados como os nomes de utilizador, nomes de apresentação públicos, biografias, localizações, emails e números de telefone (estes dois últimos informação que deveria encontrar-se privada na plataforma).
Os dados incluem ainda outra informação pública das contas, como imagens de utilizador, estado de verificação da conta e outros detalhes.
No entanto, esta pode não ser a única base de dados que estará disponível contendo informações dos utilizadores do Twitter. De acordo com o especialista em segurança Chad Loder, existem indicações que mais contas podem ter sido comprometidas numa segunda lista de dados, associada com utilizadores nos EUA e Europa, e que terá sido criada em 2021.
Tal como a lista anterior, esta possui também informações associadas com as contas dos utilizadores, incluindo o número de telefone e email associado com as contas.
De relembrar que a falha da API do Twitter foi reportada inicialmente em Dezembro de 2021 pelo HackerOne, mas apenas foi oficialmente corrigida pelo Twitter em Janeiro de 2022. Acredita-se que os dados agora revelados dizem respeito à exploração desta falha.
Com esta lista, existe o potencial dos dados existentes na mesma serem usados para campanhas de phishing diversas. Um atacante pode usar o número de telefone das vitimas para associar o mesmo com as suas contas no Twitter, enviando alertas falsos sobre as contas – e dando mais credibilidade aos ataques.