Um banco de dados contendo dados privados vazados de 5,4 milhões de usuários do Twitter, obtidos em dezembro de 2021, está sendo distribuído de graça em fóruns hackers.
O QUE HOUVE? O BleepingComputer, site especializado em segurança digital, confirmou que o banco de dados é legítimo.
Ele foi obtido por hackers que exploraram uma API falha do Twitter, identificada pelo programa de recompensas da empresa e corrigida em janeiro de 2022.
O banco de dados contém várias informações públicas dos perfis afetados, mas também algumas privadas, como número de telefone e endereço de e-mail.
Até agosto, esse banco de dados estava sendo vendido por US$ 30 mil (~R$ 162 mil). Agora, qualquer um pode baixá-lo.
O QUE MAIS? Há ainda outros dois bancos de dados de usuários do Twitter rolando por aí.
Um deles, obtido a partir de outra API falha, contém dados privados de 1,4 milhão de contas suspensas do Twitter.
O mais preocupante, porém, é um terceiro, também obtido a partir da API defeituosa consertada em janeiro de 2022 e tornado público pelo pesquisador de segurança Chad Loder — ele foi suspenso do Twitter após divulgar a existência do banco de dados e agora está no Mastodon.
Suspeita-se que o novo banco pode conter dados de até 17 milhões de contas, classificadas por país de origem e código de área (de telefones).
O BleepingComputer obteve uma amostra desse último com 1,3 milhão de contas francesas. Elas são distintas das contidas no primeiro banco de dados, de 5,4 milhões de contas.
POR QUE IMPORTA? Vazamentos do tipo propiciam ataques direcionados e convincentes do tipo “phishing scam”, quando o golpista se passa por alguém legítimo (no caso, o Twitter) a fim de obter acesso à conta ou alguma outra vantagem.
Via Bleeping Computer (em inglês).