O que você precisa saber
- O Twitter foi atingido por uma nova vulnerabilidade de segurança, que foi corrigida.
- A vulnerabilidade permitiu que os hackers identificassem a qual conta um endereço de e-mail ou número de telefone está associado.
- Isso potencialmente expôs a identidade real de contas pseudônimas.
Um bug do Twitter deixou as identidades de milhões de contas secretas expostas por meio de um fórum de hackers, confirmou o serviço de microblogging, acrescentando que corrigiu a vulnerabilidade desde então.
A brecha permitia que atores mal-intencionados descobrissem se um número de telefone ou endereço de e-mail estava associado a uma conta existente apenas inserindo essas informações no fluxo de login.
"Como resultado da vulnerabilidade, se alguém enviar um endereço de e-mail ou número de telefone para os sistemas do Twitter, os sistemas do Twitter diria à pessoa a qual conta do Twitter o endereço de e-mail ou número de telefone enviado estava associado, se houver", disse o Twitter em um postagem no blog.
A falha de segurança resultou de uma atualização do código do Twitter introduzida em junho do ano passado. O Twitter corrigiu o problema depois de receber um relatório em janeiro passado por meio de seu programa de recompensas por bugs. A empresa acrescentou que não encontrou "nenhuma evidência para sugerir que alguém havia tirado proveito da vulnerabilidade" quando soube do bug.
No entanto, o relatório do bug chegou tarde demais porque alguns malfeitores já haviam explorado a falha. De acordo com um Computador apitando relatório, um hacker vendeu um banco de dados contendo números de telefone e endereços de e-mail vinculados a 5,4 milhões de contas por meio de um fórum de hackers por US$ 30.000.
“Depois de analisar uma amostra dos dados disponíveis para venda, confirmamos que um malfeitor se aproveitou do problema antes de ser resolvido”, confirmou o Twitter.
A empresa não disse quantas contas foram afetadas, mas disse que a violação afetou potencialmente usuários com contas pseudônimas. O banco de dados à venda, de acordo com a Bleeping Computer, contém informações "sobre várias contas, incluindo celebridades, empresas e usuários aleatórios".
O Twitter notificará os proprietários de contas afetados por esta vulnerabilidade. Para usuários com contas secretas, a plataforma recomenda "não adicionar um número de telefone ou endereço de e-mail publicamente conhecido" às suas contas do Twitter para ocultar sua identidade.
Felizmente, nenhuma senha foi comprometida como resultado do hack. No entanto, o serviço incentiva os usuários a ativar a autenticação de dois fatores por meio do uso de aplicativos de autenticação ou chaves de segurança de hardware.