O Twitter divulgou, no último sábado (18), um comunicado informando que o mega ataque hacker da última semana causou outros danos além das fraudes em carteiras de bitcoin . As contas invadidas, em sua maioria de personalidades e marcas famosas, também tiveram seus dados roubados. De acordo com a rede social, informações pessoais das contas invadidas foram acessadas e, em pelo menos oito delas, os atacantes fizeram o download de todas as atividades na rede social.
“Estamos cientes da nossa responsabilidade com as pessoas que usam nosso serviço e com a sociedade em geral. Estamos envergonhados, desapontados e, mais que tudo, lamentamos”, diz o comunicado.
Até o momento, as investigações revelaram que os criminosos fizeram uso da engenharia social para atacar funcionários
da companhia e, dessa forma, tiveram acesso a ferramentas do sistema interno, usadas pela equipe de suporte.
“Os atacantes conseguiram manipular um pequeno número de funcionários e usaram suas credenciais para acessar os sistemas internos do Twitter, inclusive ultrapassando as proteções de dois fatores”, explicou a empresa.
Os criminosos fizeram uso dessas credenciais para atacar 130 contas específicas. Em 45 delas os atacantes conseguiram redefinir a senha, fazer o login e publicar tweets. Em oito contas, de usuários não verificados, eles fizeram o download do histórico de atividade.
Você viu?
Esse arquivo possui informações sensíveis, como dados do perfil, Tweets, Direct Messages, Moments, fotos, vídeos e GIFs, lista de seguidores, lista de contas seguidas, informações demográficas e de interesse inferidas pelo Twitter , anúncios vistos, entre outras.
De todas as 130 contas acessadas, os atacantes puderam ver as informações do perfil, incluindo endereço e e-mail e números de telefone. As senhas, entretanto, não foram comprometidas. A empresa está mantendo comunicação com os usuários diretamente afetados.
No ataque, os criminosos assumiram o controle de contas de personalidades e grandes companhias, como o ex-presidente americano Barack Obama
; o cofundador da Microsoft, Bill Gates
; o CEO da Tesla, Elon Musk
; o fundador da Amazon e homem mais rico do mundo, Jeff Bezos
; entre outras.
Nesses perfis, com milhões de seguidores, os atacantes publicaram falsas mensagens oferecendo dinheiro aos seguidores. Para ganhar, os seguidores deveriam depositar bitcoins em uma carteira específica, e receberiam em dobro.
'Poderia ter sido pior'
Segundo informações públicas do site Blockchain.com, a carteira, criada no dia do ataque, recebeu até o momento 394 depósitos que somaram 12,87 bitcoins, que valem aproximadamente US$ 120 mil, ou R$ 636 mil. O valor já foi quase todo retirado. Os criminosos também tentaram vender algumas contas, informou o Twitter .
"Os atacantes tiveram acesso a tudo", afirmou Mikko Hypponen, diretor de pesquisas da F-Secure. "Eles poderiam ter feito qualquer coisa no Twitter . Poderiam ter começado a tuitar coisas esquisitas em nome dos candidatos à presidência dos EUA durante a eleição em novembro, por exemplo".
A ação está sendo investigada internamente pelo Twitter , mas também pelo FBI . Para conter o ataque, a companhia adotou uma série de medidas, incluindo a suspensão da publicação de tweets e da redefinição de senhas para determinados perfis. Alguns continuam bloqueados.
"No fim, isso poderia ter sido bem pior", comentou Hypponen. "O Twitter é grande e importante, mas até mesmo o Snapchat e o Reddit possuem mais usuários que o Twitter. Os verdadeiros gigantes das redes sociais são Instagram, YouTube e Facebook".