Twitter: ataque veio de conta interna de funcionário que foi violada, diz NYT

O GLOBO – 18/07/2020

New York Times

Os investigadores forenses que trabalham para descobrir a origem do ataque que violou contas de celebridades no Twitter e pode ter afetado mais de 300 milhões de pessoas, causando prejuízos de mais de US$ 120 mil, tiveram uma surpresa: perceberam que o hack partiu de uma conta interna da empresa,  que foi comprometida pelos invasores, segundo fontes a par do assunto revelaram ao jornal The New York Times.

Segundo os investigadores, é certo que pelo menos uma conta e as credenciais (login e senha) de um funcionário do Twitter foram invadidas e usadas para ganhar acesso a um painel de controle interno, que por sua vez permitia entrar nas contas das celebridades (cerca de 130 delas foram alvo do golpe, que pedia depósitos em carteiras digitais de bitcoins prometendo devolver o valor em dobro).

Pedro Doria:  Na briga dos hackers, o Brasil está fora

Mas a investigação ainda tenta determinar se os hackers responsáveis pelo ataque tentaram enganar o empregado para que este lhes passasse seus dados pessoais, num clássico golpe conhecido como engenharia social entre os especialistas de segurança digital. Nesse esquema, alguém posa como uma pessoa confiável (por exemplo, um executivo de uma companhia) e induz a vítima a lhe dar seu login e senha do sistema.

Mas outra linha de investigação verifica se um funcionário do Twitter recebeu suborno para repassar suas credenciais aos hackers. Um deles, que reivindicou a autoria do ataque, afirmou ao site Motherboard que foi isso o que aconteceu.

Cora Rónai:  Levaram o Twitter no bico

PUBLICIDADE

Revés embaraçoso
O FBI, a polícia federal dos EUA, emitiu alerta para que as pessoa evitem cair no golpe enviando depósitos de moedas encriptadas a partir de mensagens na rede social.

O hacking foi um grande revés para o Twitter, e o pior ataque sofrido pela rede em quase duas décadas.

Hacker tipo exportação:  Cibercriminosos brasileiros expandem fraudes para EUA, países europeus e até China

No ano passado, em resposta às revelações prejudiciais sobre como a desinformação se espalhou amplamente no serviço durante as eleições presidenciais americanas de 2016, Jack Dorsey, o diretor executivo e cofundador do Twitter, priorizou a promoção de tuítes saudáveis e confiáveis. O hack de contas de alto perfil para compartilhar uma fraude mostrou que o Twitter continua despreparado para as ameaças à segurança que enfrenta.

Ataque em ondas
O ataque na quarta-feira ocorreu em ondas. Primeiro, os invasores usavam seu acesso às ferramentas internas do Twitter para assumir contas com nomes de usuário como @6, que pertenceu ao pesquisador e hacker de segurança Adrian Lamo.

Em seguida, o ataque atingiu as contas do Twitter de líderes e empresas de criptomoeda proeminentes.

A onda seguinte incluiu muitas das contas mais populares, incluindo aquelas pertencentes a líderes políticos, titãs da indústria e artistas e celebridades.

PUBLICIDADE

Coronavírus: Golpes financeiros crescem durante a quarentena

Já houve ataques em que hackers posaram como figuras públicas em perfis falsos para pedir dinheiro. Mas foi a primeira vez aem que foram tomados de assalto perfis reais de pessoas célebres para dar o golpe.

Falta de controles efetivos
A violação levanta questões significativas sobre o funcionamento dos sistemas internos do Twitter e sobre como a posse do dados de acesso interno de um funcionário pode dar a um atacante externo carta branca sobre algumas das contas mais populares e de maior perfil do mundo.

Algumas das celebridades afetadas no ataque: Bill Gates, Joe Biden, Elon Musk e Jeff Bezos. Foto: AFP
Algumas das celebridades afetadas no ataque: Bill Gates, Joe Biden, Elon Musk e Jeff Bezos. Foto: AFP
Em um post em seu blog, um especialista em segurança detalhou como alguém com acesso a ferramentas administrativas poderia efetivamente entrar na maioria das contas do Twitter usando uma função de redefinição de senha. O método foi usado nas aquisições de contas na quarta-feira, de acordo com duas pessoas familiarizadas com o ataque.

Golpe da Netflix:  Falso e-mail pede atualização de dados para evitar cancelamento

Pesquisadores de segurança também questionaram por que o Twitter não tinha melhores salvaguardas para monitorar atividades suspeitas nas contas dos funcionários.

Muitas empresas têm sistemas que os alertam se um funcionário entrar em dados confidenciais ou alterar senhas e e-mails em contas várias vezes em um curto período, disse Rachel Tobac, hacker e diretora executiva da SocialProof Security, que trabalha com empresas para treiná-las contra engenharia social.

PUBLICIDADE

— O que se viu na quarta-feira provavelmente não é o fim do ataque — disse Alon Gal, diretor de tecnologia da empresa de cibersegurança israelense Hudson Rock, que investiga o ataque. — Se  os hackers tiveram acesso às mensagens diretas, isso não acabou.

Contas à venda na web
Além disso, segundo a Reuters, antes do ataque, já havia práticas obscuras na internet envolvendo contas do Twitter. Um anúncio foi publicado em um site pirata que facilita a venda de contas de usuários de muitos sites populares, incluindo o Twitter.

Por US$ 250 em moeda digital, o vendedor prometia revelar o e-mail vinculado a uma conta do Twitter. E por US$ 2.500, o comprador obteria a conta.

“Você receberá um reembolso total se, por qualquer motivo, não receber o e-mail”, dizia o anúncio, descrevendo a conta do Twitter com o sinal @.

Cuidado:Golpe que promete saque de R$ 1.045 do FGTS atinge mais de cem mil vítimas

O anúncio, cuja captura de tela foi fornecida à Reuters pela Hudson Rock, foi um indício precoce de que nem tudo estava bem no Twitter.

Um administrador do OGUsers, o fórum de negociação de contas, confirmou que a captura de tela era autêntica, dizendo à Reuters que o usuário que vendia o anúncio — chamado “chaewon” — foi suspenso quando os administradores do site perceberam o que estava acontecendo.

PUBLICIDADE

Entenda:  Por que marcas estão tirando anúncios do Facebook?

Ele disse que seu site — cujos usuários gostam particularmente de contas com identificadores de um ou dois caracteres, apelidados de “OGs” — proíbe explicitamente o tráfego de credenciais hackeadas.

Em teoria, empresas de mídia social como Twitter e Instagram proíbem a venda de contas, não importa como elas sejam adquiridas, mas o administrador disse que as empresas de internet “escolhem quando aplicar essa regra” e que a prática é amplamente tolerada.