Um vazamento de dados descrito como contendo endereços de e-mail de 200 milhões de usuários do Twitter foi publicado em um popular fórum de hackers e está sendo vendido por cerca de US$ 2. O BleepingComputer confirmou a validade de muitos dos endereços de e-mail listados no vazamento.
Desde 22 de julho do ano passado, operadores de ameaças e coletores de violação de dados têm vendido e circulado grandes conjuntos de dados de perfis de usuários do Twitter copiados contendo dados pessoais (números de telefone e endereços de e-mail) e públicos em vários fóruns de hackers online e marketplaces de crimes cibernéticos.
Esses conjuntos de dados foram criados em 2021 explorando uma vulnerabilidade da API do Twitter que permitia aos usuários inserir endereços de e-mail e números de telefone para confirmar se estavam associados a um ID da rede de microblogs. Os operadores de ameaças usaram outra API para coletar os dados públicos do Twitter para o ID e combinaram esses dados com endereços de e-mail/números de telefone privados para criar perfis de usuários.
Embora o Twitter tenha corrigido essa falha em janeiro de 2022, vários operadores de ameaças começaram recentemente a vazar gratuitamente os conjuntos de dados que coletaram há mais de um ano. O primeiro conjunto de dados de 5,4 milhões de usuários foi colocado à venda em julho por US$ 30 mil e finalmente lançado gratuitamente em 27 de novembro. Outro conjunto de dados supostamente contendo os dados de 17 milhões de usuários também circulou de forma privada em novembro.
Mais recentemente, um operador de ameaças começou a vender um conjunto de dados que alegava conter 400 milhões de perfis do Twitter coletados usando essa vulnerabilidade. Hoje, outro hacker divulgou um conjunto de dados que consiste em 200 milhões de perfis da rede social no fórum de hackers Breached por oito créditos da moeda do fórum, no valor de aproximadamente US$ 2.
Esse conjunto de dados é supostamente o mesmo que o conjunto de 400 milhões que circulou em novembro do ano passado, mas limpo para não conter duplicatas. No entanto, os testes do BleepingComputer também confirmaram duplicatas nos últimos dados vazados. Os dados foram lançados como um arquivo RAR composto por seis arquivos de texto para um tamanho combinado de 59 GB de dados.
Veja isso
Novo código sugere que Twitter terá mensagens criptografadas
Ex-diretor acusa Twitter de falhar em segurança
Embora o BleepingComputer tenha conseguido confirmar que os endereços de e-mail estão corretos para muitos dos perfis listados no Twitter, o conjunto de dados completo obviamente não foi confirmado. Além disso, o conjunto de dados está longe de ser completo, pois muitos usuários não foram encontrados no vazamento.
Embora o vazamento de dados contenha apenas endereços de e-mail, ele pode ser usado por operadores de ameaças para realizar ataques de phishing contra contas, especialmente as verificadas. Contas verificadas com grandes seguidores são altamente valorizadas, pois costumam ser usadas para roubar criptomoedas por meio de golpes online.
Infelizmente, o usuário que teve sua identidade revelada por um endereço de e-mail vazado, não há muito o que fazer.