0
0
Dados de 200 milhões de usuários do Twitter foram coletados e colocados gratuitamente em um fórum de hackers clandestinos, alertam os pesquisadores.
Detalhes da conta pública, incluindo nome da conta, identificador, data de criação e contagem de seguidores, fazem parte dos 63 GB de dados carregados na Dark Web em 4 de janeiro, de acordo com uma investigação da Privacy Affairs. O cibercriminoso responsável disse que os materiais foram coletados por meio de raspagem de dados, que é um processo de uso de scripts automatizados para levantar dados públicos de sites de mídia social. No entanto, o banco de dados também contém endereços de e-mail, descobriu a empresa – que não fazem parte dos perfis públicos dos usuários.
“A disponibilidade dos endereços de e-mail associados às contas listadas pode ser usada para determinar a identidade real ou a localização dos titulares de contas afetados por meio de ataques de engenharia social”, disse Miklos Zoltan, fundador da Privacy Affairs, em um post de blog . “Os endereços de e-mail também podem ser usados para spam ou campanhas de marketing fraudulentas e para enviar ameaças pessoais a usuários individuais”.
Embora não esteja claro como os endereços de e-mail foram acessados, Zoltan observou que “o método mais provável usado pode ter sido o abuso de uma vulnerabilidade de interface de programação de aplicativo (API)”. Afinal, pelo menos um vazamento anterior de dados do Twitter resultou do abuso de uma API do Twitter, resultando na vinculação de números de telefone com identificadores do Twitter. E em agosto, descobriu-se que milhares de aplicativos móveis vazavam chaves de API do Twitter .
Outros pesquisadores concordam com a avaliação de Zoltan.
” A segurança da API é a verdadeira história aqui”, disse Sammy Migues, principal cientista da Synopsys, em um comunicado por e-mail. “À medida que o desenvolvimento de aplicativos nativos da nuvem explode, o mesmo acontece com o mundo da refatoração de aplicativos monolíticos em centenas e milhares de APIs e microsserviços. Certamente, esse esforço está crescendo muito mais rápido do que as habilidades e o número de arquitetos de aplicativos que podem criar APIs seguras e zero arquiteturas de confiança.”
Até agora, o Twitter tem sido silencioso sobre os desenvolvimentos e não respondeu imediatamente a um pedido de comentário de Dark Reading.
A raspagem de dados de perfil público representa um risco real
Os 200 milhões de registros do Twitter parecem ser o mesmo conjunto de dados que apareceu à venda por US$ 200.000 em mercados clandestinos em dezembro, acrescentou o Privacy Affairs. Na época, havia 400 milhões de perfis incluídos , mas a empresa disse que esta última listagem desduplicou o banco de dados, resultando em um conjunto de dados mais enxuto sem repetições – e agora está sendo oferecido gratuitamente para quem quiser fazer o download.Além do perigo cibernético envolvido no vazamento de e-mails associados aos identificadores do Twitter, até mesmo os dados disponíveis publicamente podem ser usados para ataques altamente direcionados.
Especificamente, pode ser cruzado com outros dados que um usuário pode ter compartilhado em plataformas para criar uma visão de 360 graus de uma pessoa – seus interesses, seus gostos, os círculos sociais em que correm e até mesmo atividades corporativas (lembre-se, Os identificadores do Twitter são frequentemente usados em sites corporativos no lugar de informações de contato direto – e podem, portanto, atuar como metatags que os invasores podem usar para rastrear a presença do usuário na Web, muito além do próprio Twitter).
Nesse caso, como tantos dados são coletados em volume em um banco de dados prático, esse processo e os ataques que ele pode gerar podem agora ser automatizados. Isso pode ser um problema real não apenas para usuários de mídia social, mas para as próprias plataformas – tanto o Facebook quanto o LinkedInenfrentaram multas e água quente em geral por incidentes anteriores de extração de dados. E, quem pode esquecer o escândalo da Cambridge Analytica do primeiro , no qual um número impressionante de perfis e postagens de usuários públicos foi raspado e usado para direcionar mensagens políticas aos usuários do site.
No que diz respeito a como se proteger de quaisquer ataques cibernéticos subsequentes (ou direcionamento de influência), as melhores práticas ainda se aplicam, de acordo com Jamie Boote, consultor associado de segurança de software da Synopsys.“Como sempre, agentes mal-intencionados têm seu endereço de e-mail”, disse ele, por e-mail. “Para estar seguro, os usuários devem alterar sua senha do Twitter e garantir que ela não seja reutilizada em outros sites. E, a partir de agora, provavelmente é melhor excluir todos os e-mails que pareçam ser do Twitter para evitar golpes de phishing.
“Há também um alerta a ser tomado em termos de cuidado com o que alguém compartilha publicamente nas mídias sociais, para evitar que os ciberataques criem perfis de dados ricos com facilidade.E Zoltan, da Privacy Affairs, ofereceu outra lição a ser aprendida: “Embora não seja um método muito popular no momento, também seria útil usar endereços de e-mail ‘gravadores’ ou endereços de e-mail separados para contas online ao encaminhar e-mails para um endereço mestre. Dessa forma, mesmo que o endereço de e-mail associado a um Twitter ou qualquer outra conta vaze, ele não pode ser associado à identidade do usuário final ou a outros serviços online.”
FONTE: DARK READING