O Twitter alertou uma parcela dos seus usuários sobre um vazamento de dados que permitia descobrir o país associado ao número de telefone das contas e se uma conta estava bloqueada pela própria rede social (medida tomada pelo Twitter quando ocorre uma violação dos termos de uso). O vazamento, que estava em um formulário de suporte, foi detectado no dia 15 de novembro e corrigido no dia seguinte.
Após a divulgação do vazamento, um pesquisador de segurança declarou ter avisado o Twitter sobre esse problema há dois anos e que foi ignorado pela rede social.
Não foi informado o número de usuários que tiveram a informação acessada. O Twitter destacou que não houve exposição de nenhuma outra informação pessoal, nem do número de telefone completo das contas.
Embora não se saiba exatamente de que forma alguém utilizaria esses dados, o Twitter informou que identificou uma “atividade anormal” envolvendo o formulário em questão. De acordo com o comunicado oficial, foi detectado “um grande número de solicitações vindas de endereços de IP individuais localizados na China e na Arábia Saudita”. Segundo o alerta, é possível que esses acessos estejam relacionados a “ações de Estado”.
Twitter teria sido avisado há dois anos
Após o Twitter alertar os usuários sobre o vazamento e o caso ser divulgado pela imprensa, um pesquisador de segurança declarou que o Twitter tinha conhecimento desse problema há dois anos. O pesquisador, Peerzada Fawaz Ahmad Qureshi, comunicou os detalhes da brecha ao Twitter através da plataforma HackerOne.
Segundo um relato dado pelo pesquisador ao site “TechCrunch”, o Twitter não corrigiu o problema, alegando que ele “não representava um risco de segurança significativo” e que o código de país do número de telefone associado às contas não era considerado uma informação sensível.
A HackerOne é uma plataforma que media a comunicação entre pesquisadores de segurança e empresas dispostas a pagar recompensas por informações que envolvem brechas de segurança. No caso do Twitter, os pagamentos variam de US$ 140 a US$ 20.160 (cerca de R$ 530 a R$ 75 mil). É a empresa que decide se o pesquisador poderá receber a recompensa e em qual categoria de pagamento o erro se encaixa.
Fonte: G1