Ataque ao Twitter deu acesso quase ilimitado para hackers

Golpe de criptomoedas foi o menor dos problemas; ataques muito piores poderiam acontecer
Vinicius Szafran17/07/2020 22h47, atualizada em 17/07/2020 23h13

20190905085128

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Twitter foi alvo de um grande ataque hacker que ainda ecoa pela internet. Em uma das maiores violações de segurança que já aconteceram com a empresa, algumas das contas mais populares da plataforma, de algumas das empresas e pessoas mais ricas do mundo, publicaram tuítes pedindo que os seguidores enviassem bitcoins, prometendo dobrar o investimento.

Esse foi um ataque de engenharia social coordenado aos funcionários do Twitter, permitindo que os invasores acessassem os painéis de administração da empresa. O caso está sendo investigado pelo FBI.

Imagine obter o acesso a todos os painéis de administração de todas as contas do mundo. É um poder enorme. Você poderia sequestrar contas de alto valor e vendê-las no mercado paralelo, extrair material de chantagem, ou talvez interferir nas próximas eleições.

De qualquer forma, um atacante experiente não se revelaria facilmente publicando um golpe de bitcoin nas maiores contas do mundo. Alguns afirmam que o golpe foi uma distração para algo maior, feito em segundo plano.

A resposta do Twitter – somente cinco horas depois – foi bloquear todas as contas verificadas do mundo. É como se ladrões invadissem sua casa e ligassem o som na sala, e em resposta você apagasse todas as luzes. Eles percebem que você sabe, mas não é realmente um método eficiente.

Bloquear todos os verificados é um problema, porque muitos serviços de emergência essenciais usam o Twitter como um canal de comunicação com a população. É o caso do Serviço Nacional de Meteorologia dos EUA, que repentinamente se viu incapaz de publicar avisos meteorológicos durante um alerta de tornado. O congelamento de contas pareceu uma medida tomada “no susto”. O Twitter parecia não ter ideia do que estava acontecendo e de como parar aquilo.

No entanto, o congelamento parece ter impedido os invasores de alterarem as senhas dos usuários. Porém, a investigação segue em andamento.

Contas invadidas

Algumas das contas comprometidas são de empresas, como Apple e Uber, e de personalidades – Bill Gates, Kanye West, Elon Musk, entre outros. Segundo o Twitter, 130 contas foram invadidas.

O problema é que os tuítes pareciam normais para os padrões de algumas dessas pessoas, como o próprio Musk, levando um número significativo de pessoas a cair no golpe. Os criminosos conseguiram quase US$ 120 mil em pouco tempo, e logo transferiram a maior parte desse dinheiro para outra carteira.

Muitas pessoas imediatamente assumiram que essas contas tenham padrões de segurança pouco exigentes, ou não usem verificação em dois fatores. Porém, segundo a Reuters, “vários usuários com autenticação de dois fatores – um procedimento de segurança que ajuda a impedir tentativas de invasão – disseram que não tinham poder para impedir (a invasão)”.

Fontes anônimas do Twitter informaram ao Motherboard que as aquisições de contas aconteceram pelo acesso a uma ferramenta interna de gerenciamento de contas, divulgadas pelo Vice algum tempo depois.

Reprodução

Ferramenta do Twitter com botões de “lista negra”. Imagem: Reprodução

O Twitter tentou impedir a divulgação dessas imagens, mas elas se espalharam rapidamente pela internet. As capturas de tela proibidas mostram a presença de botões de “lista negra” em páginas de contas individuais, o que pode ser uma evidência de “shadowban”, ou seja, um banimento parcial de um usuário ou conteúdo para que ele não seja compartilhado, mas de uma forma que a pessoa banida não saiba o que aconteceu.

Quando perguntado sobre essas ferramentas de “lista negra”, o porta-voz do Twitter desconversou. Por email, a resposta da empresa foi simples: “Desde julho de 2018, deixamos claro que não fazemos shadowban”. Ele também listou regras de restrição de pesquisa, política de exclusão de hashtags de tópico em tendência, exclusão e inclusão de tendências no Google Trends e dignidade da notícia.

Outra fonte informou ao Motherboard que o funcionário supostamente comprometido com o crime foi pago por sua participação no esquema. Como a ferramenta do Twitter permitia o gerenciamento das contas, isso confirmou que os invasores não apenas podiam mudar emails e senhas, como também ter acesso às mensagens diretas (DMs) dos usuários. Isso é preocupante, já que muitos não sabem que as DMs não estão protegidas com criptografia de ponta a ponta.

Um ponto importante a se destacar é se a vulnerabilidade era somente um funcionário vendido (falha humana) ou se de fato havia alguma falha de segurança. Também é plausível que o invasor tenha usado um pretexto, como fingir ser uma pessoa com uma necessidade legítima de acesso. Outra possibilidade é a isca: o invasor induz o funcionário a inserir um arquivo ou dispositivo USB malicioso em um computador para comprometê-lo.

As investigações seguem em curso, então talvez as respostas para todas essas perguntas apareçam em breve.

Via: Engadget

Vinicius Szafran
Colaboração para o Olhar Digital

Vinicius Szafran é colaboração para o olhar digital no Olhar Digital