Em janeiro deste ano, o Twitter corrigiu uma falha de segurança numa API, que tinha sido identificada no âmbito do seu programa de recompensas à identificação destes problemas de segurança. Meses depois, em julho, descobriu que antes de ter tido tempo de corrigir o problema, alguém explorou a falha e estava a tentar vender os dados de utilizadores obtidos por essa via num fórum online, por 30 mil dólares.
A situação foi aparentemente contida, mas vê-se agora que só temporariamente. Os mesmos dados de 5,4 milhões de utilizadores, onde se incluem dados de acesso reservado, como números de telefone ou endereços de email, voltaram a ser publicados online, mas desta vez de graça. Qualquer pessoa pode aceder-lhes e usá-los para o que bem entender, incluindo tentar lançar ataques de phishing ou outros, a partir daí.
A informação foi avançada pelo site BleepingComputer, que já tinha revelado a tentativa de venda da informação no verão. Agora avança também com a informação de que os dados foram integralmente disponibilizados online, referindo que esta não é sequer a pior notícia que tem para dar sobre o assunto.
MAIS: Selo de verificação do Twitter terá 3 cores, diz Musk
Um investigador de segurança, Chad Loder, terá descobertooutro exploit da mesma falha, que terá um volume de dados ainda maior, entre informação pública (dados de identificação na conta ou de localização, por exemplo) e privada de utilizadores da rede social. Segundo a mesma fonte, os registos identificados nesta base de dados, principalmente de utilizadores europeus e norte-americanos, e na anterior, não são os mesmos. São de utilizadores diferentes.
O autor da descoberta divulgou-a primeiro no Twitter, de onde foi banido logo a seguir. A mensagem que partilhou dizia: “acabo de receber provas de uma violação massiva de dados do Twitter, que afeta milhões de contas na UE e nos EUA. Contactei o autor de uma das contas afetadas que me confirmou que os dados partilhados estão corretos. Esta violação não ocorreu antes de 2021“.
Já no Mastodon, uma plataforma concorrente ao Twitter, Loder partilhou uma amostra da lista. Nos comentários à publicação, o homem assume que identificou dezenas de milhões de registos, admitindo que possam chegar aos 100 milhões. Também diz, em resposta ao pedido de um utilizador para envio de uma lista com informação mais legível, que nunca divulgaria dados pessoais de contacto de terceiros.
Entretanto, o responsável do fórum que decidiu abrir ao mundo o acesso aos dados de 5,4 milhões de utilizadores do Twitter, tinha também já dito à BleepingComputer que, a partir de uma outra API, conseguiu ainda ter acesso a dados de 1,4 milhões de perfis suspensos pelo Twitter. Estes dados chegaram igualmente a ser partilhados nos últimos meses, mas de forma privada e não integram a base de dados agora divulgada de forma aberta.