Dados de contas do Twitter são vendidos na dark web por US$ 30.000

Dados de contas do Twitter estão sendo vendidos em fóruns na dark web por US$ 30.000 (algo em torno de 150 mil reais em conversão direta). E isso só é possível graças a uma vulnerabilidade reconhecida pela própria rede social em janeiro deste ano.

O time do pássaro azul diz que corrigiu a falha, mas não rápido o bastante. Deu tempo de um agente de ameaças obter dados de 5,4 milhões de contas na plataforma.

Imagem: reprodução/Twitter

A falha descoberta no Twitter

A vulnerabilidade, revelada em um relatório do HackerOne no início do ano, permitia que um invasor conseguisse o telefone e/ou e-mail associados a contas no Twitter – mesmo que o usuário tivesse ocultado esses campos nas configurações de privacidade. O bug era específico do app para Android.

Poucos dias depois de a falha ser divulgada, a equipe de segurança do Twitter reconheceu que o problema era grave e chegou a chegou a recompensar o usuário que encontrou e reportou o problema com pouco mais de cinco mil dólares.

As consequências…

Na semana passada, foi encontrada uma oferta na dark web de um usuário vendendo um banco de dados de mais de cinco milhões de contas do microblog – sim, todos supostamente extraídos durante a exploração dessa vulnerabilidade encontrada em janeiro. O vendedor no fórum de hackers afirma que o conjunto de dados inclui “celebridades, empresas, aleatórios, organizações governamentais, entre outros”.

Imagem: RestorePrivacy

O vendedor pede pelo menos US$ 30.000 pelo banco de dados que, segundo ele, disponível por uma “incompetência do Twitter”.

Imagem: RestorePrivacy

Via: RestorePrivacy