O Twitter foi alvo de um grande ataque hacker que ainda ecoa pela internet. Em uma das maiores violações de segurança que já aconteceram com a empresa, algumas das contas mais populares da plataforma, de algumas das empresas e pessoas mais ricas do mundo, publicaram tuítes pedindo que os seguidores enviassem bitcoins, prometendo dobrar o investimento.
Esse foi um ataque de engenharia social coordenado aos funcionários do Twitter, permitindo que os invasores acessassem os painéis de administração da empresa. O caso está sendo investigado pelo FBI.
Imagine obter o acesso a todos os painéis de administração de todas as contas do mundo. É um poder enorme. Você poderia sequestrar contas de alto valor e vendê-las no mercado paralelo, extrair material de chantagem, ou talvez interferir nas próximas eleições.
De qualquer forma, um atacante experiente não se revelaria facilmente publicando um golpe de bitcoin nas maiores contas do mundo. Alguns afirmam que o golpe foi uma distração para algo maior, feito em segundo plano.
A resposta do Twitter – somente cinco horas depois – foi bloquear todas as contas verificadas do mundo. É como se ladrões invadissem sua casa e ligassem o som na sala, e em resposta você apagasse todas as luzes. Eles percebem que você sabe, mas não é realmente um método eficiente.
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Twitter Support (@TwitterSupport) July 16, 2020
Bloquear todos os verificados é um problema, porque muitos serviços de emergência essenciais usam o Twitter como um canal de comunicação com a população. É o caso do Serviço Nacional de Meteorologia dos EUA, que repentinamente se viu incapaz de publicar avisos meteorológicos durante um alerta de tornado. O congelamento de contas pareceu uma medida tomada “no susto”. O Twitter parecia não ter ideia do que estava acontecendo e de como parar aquilo.
No entanto, o congelamento parece ter impedido os invasores de alterarem as senhas dos usuários. Porém, a investigação segue em andamento.
Contas invadidas
Algumas das contas comprometidas são de empresas, como Apple e Uber, e de personalidades – Bill Gates, Kanye West, Elon Musk, entre outros. Segundo o Twitter, 130 contas foram invadidas.
O problema é que os tuítes pareciam normais para os padrões de algumas dessas pessoas, como o próprio Musk, levando um número significativo de pessoas a cair no golpe. Os criminosos conseguiram quase US$ 120 mil em pouco tempo, e logo transferiram a maior parte desse dinheiro para outra carteira.
We know they used this access to take control of many highly-visible (including verified) accounts and Tweet on their behalf. We’re looking into what other malicious activity they may have conducted or information they may have accessed and will share more here as we have it.
— Twitter Support (@TwitterSupport) July 16, 2020
Muitas pessoas imediatamente assumiram que essas contas tenham padrões de segurança pouco exigentes, ou não usem verificação em dois fatores. Porém, segundo a Reuters, “vários usuários com autenticação de dois fatores – um procedimento de segurança que ajuda a impedir tentativas de invasão – disseram que não tinham poder para impedir (a invasão)”.
Fontes anônimas do Twitter informaram ao Motherboard que as aquisições de contas aconteceram pelo acesso a uma ferramenta interna de gerenciamento de contas, divulgadas pelo Vice algum tempo depois.
Ferramenta do Twitter com botões de “lista negra”. Imagem: Reprodução
O Twitter tentou impedir a divulgação dessas imagens, mas elas se espalharam rapidamente pela internet. As capturas de tela proibidas mostram a presença de botões de “lista negra” em páginas de contas individuais, o que pode ser uma evidência de “shadowban”, ou seja, um banimento parcial de um usuário ou conteúdo para que ele não seja compartilhado, mas de uma forma que a pessoa banida não saiba o que aconteceu.
Quando perguntado sobre essas ferramentas de “lista negra”, o porta-voz do Twitter desconversou. Por email, a resposta da empresa foi simples: “Desde julho de 2018, deixamos claro que não fazemos shadowban”. Ele também listou regras de restrição de pesquisa, política de exclusão de hashtags de tópico em tendência, exclusão e inclusão de tendências no Google Trends e dignidade da notícia.
Based on what we know right now, we believe approximately 130 accounts were targeted by the attackers in some way as part of the incident. For a small subset of these accounts, the attackers were able to gain control of the accounts and then send Tweets from those accounts.
— Twitter Support (@TwitterSupport) July 17, 2020
Outra fonte informou ao Motherboard que o funcionário supostamente comprometido com o crime foi pago por sua participação no esquema. Como a ferramenta do Twitter permitia o gerenciamento das contas, isso confirmou que os invasores não apenas podiam mudar emails e senhas, como também ter acesso às mensagens diretas (DMs) dos usuários. Isso é preocupante, já que muitos não sabem que as DMs não estão protegidas com criptografia de ponta a ponta.
Um ponto importante a se destacar é se a vulnerabilidade era somente um funcionário vendido (falha humana) ou se de fato havia alguma falha de segurança. Também é plausível que o invasor tenha usado um pretexto, como fingir ser uma pessoa com uma necessidade legítima de acesso. Outra possibilidade é a isca: o invasor induz o funcionário a inserir um arquivo ou dispositivo USB malicioso em um computador para comprometê-lo.
As investigações seguem em curso, então talvez as respostas para todas essas perguntas apareçam em breve.
Via: Engadget