Dados de 400 milhões de usuários do Twitter contendo e-mails privados e números de telefone vinculados foram colocados à venda no mercado negro.
A empresa de inteligência cibercrime, Hudson Rock, destacou uma “ameaça confiável” via Twitter, na qual alguém supostamente está vendendo um banco de dados privado contendo informações de contato de 400 milhões de contas de usuários do Twitter. Hudson Rock declarou:
“O banco de dados privado contém quantidades devastadoras de informações, incluindo e-mails e números de telefone de usuários de alto nível, como AOC, Kevin O’Leary, Vitalik Buterin e mais. Na postagem, o agente da ameaça afirma que os dados foram obtidos no início de 2022 devido a uma vulnerabilidade no Twitter, além de tentar extorquir Elon Musk para comprar os dados ou enfrentar processos do GDPR.”
A Hudson Rock disse que, embora não tenha conseguido verificar totalmente as alegações do hacker devido ao número de contas, disse que uma “verificação independente dos próprios dados parece ser legítima”.
BREAKING: Hudson Rock discovered a credible threat actor is selling 400,000,000 Twitter users data.
The private database contains devastating amounts of information including emails and phone numbers of high profile users such as AOC, Kevin O'Leary, Vitalik Buterin & more (1/2). pic.twitter.com/wQU5LLQeE1
— Hudson Rock (@RockHudsonRock) December 24, 2022
A empresa de segurança Web3, DeFiYield, também analisou 1.000 contas dadas como amostra pelo hacker e verificou que os dados são reais. Ele também entrou em contato com o hacker via Telegram e observou que eles estão esperando ativamente por um comprador lá.
Se for verdade, a violação pode ser um motivo significativo de preocupação para os usuários do Twitter, principalmente aqueles que operam sob um pseudônimo.
No entanto, alguns usuários destacaram que é difícil acreditar em uma violação em grande escala, uma vez que a quantidade atual de usuários mensais ativos está em torno de 450 milhões.
Atualmente, o suposto hacker ainda tinha uma postagem no Breached anunciando o banco de dados para os compradores. Ele também tem uma chamada à ação específica para que Elon Musk pague US$276 milhões para evitar a venda dos dados e enfrentar uma multa da agência General Data Protection Regulation.
Se Musk pagar a taxa, o hacker diz que excluirá os dados e não os venderá a mais ninguém “para evitar que muitas celebridades e políticos façam phishing, golpes de criptomoedas, troca de Sim, doxxing e outras coisas”.
Entende-se que os dados violados em questão vieram do “Zero-Day Hack” no Twitter, no qual uma vulnerabilidade da interface de programação de aplicativos de junho de 2021 foi explorada antes de ser corrigida em janeiro deste ano. O bug essencialmente permitia que os hackers extraíssem informações privadas, que eles compilavam em bancos de dados para vender na dark web.
Juntamente com esse suposto banco de dados, dois outros foram identificados anteriormente, com um composto por cerca de 5,5 milhões de usuários e outro com cerca de 17 milhões de usuários, de acordo com um relatório da Bleeping Computer.
Os perigos de ter tais informações vazadas online incluem tentativas de phishing direcionadas por texto e e-mail, ataques de troca de sim para obter contas e doxing de informações privadas.
There are some serious concerns with this.
#1 – Identities of many pseudo accounts will be public, posing risks for them
#2 – With a phone number, it's super easy to find anyone's address and banking information.
#3 – Multiple phishing attempts via cellphone, physical, or email— Haseeb Awan – efani.com (@haseeb) December 25, 2022
As pessoas estão sendo aconselhadas a tomar precauções, como certificar-se de que as configurações de autenticação de dois fatores estejam ativadas para suas várias contas, por meio de um aplicativo e não de seu número de telefone, além de alterar suas senhas e armazená-las com segurança e também usando uma conta privada auto-hospedada.
