Twitter sem evidências de que exfiltração de dados resultou de exploração de vulnerabilidades

O Twitter não encontrou evidências de que os dados obtidos e colocados à venda recentemente tenham resultado da exploração de vulnerabilidades da rede social.

Em agosto de 2022, a empresa informou os clientes de que o sistema tinha sido alvo de uma vulnerabilidade – corrigida no início de 2022 - tendo sido explorados dados de utilizadores.

À data, o Twitter confirmou a exploração da vulnerabilidade depois de relatos que davam conta de uma base de dados com informação de cerca de 5,4 milhões de utilizadores à venda em fóruns online.

Relatos dão conta também de uma base de dados com 400 milhões de registos de utilizadores do Twitter, alegadamente obtidos na exploração desta mesma falha, à venda em dezembro de 2022.

Já nos primeiros dias de janeiro de 2023, um indivíduo terá sido responsável por expor um banco de dados com informações de cerca de 235 milhões de utilizadores da rede social, incluindo nomes, nomes de utilizador, endereços de email, número de seguidores e data de criação das contas. Os investigadores explicaram que a informação aparentava ter sido recolhida através de ‘web-scraping’ e não de infiltração dos sistemas do Twitter. No entanto, o Twitter confirmou também que estes dados não tinham sido obtidos por meio da exploração da vulnerabilidade, que teria sido corrigida há um ano, em janeiro de 2022. 

Num comunicado publicado no passado dia 11 de janeiro, o Twitter esclareceu que nenhum dos bancos de dados expostos continha senhas ou informações que levassem a comprometer outras senhas.

Os esclarecimentos surgiram depois de várias notícias que davam conta de dados de utilizadores à venda na internet. A empresa abriu uma investigação ao caso, concluindo que os dados que estariam à venda seriam provavelmente de uma base de dados anteriormente publicada através de diferentes fontes.