A Comissão Irlandesa de Proteção de Dados (DPC) lançou uma investigação após as notícias do mês passado sobre um vazamento massivo de dados no Twitter.
Esse vazamento afetou mais de 5,4 milhões de usuários do Twitter e incluiu informações públicas extraídas do site, bem como números de telefone e endereços de e-mail privados. Os dados foram obtidos por meio da exploração de uma vulnerabilidade de API que o Twitter corrigiu em janeiro.
Em uma declaração na sexta-feira, o regulador de privacidade irlandês disse: “O DPC se correspondeu com o Twitter International Unlimited Company (‘TIC’) em relação a uma violação de dados pessoais notificada que a TIC afirma ser a fonte de vulnerabilidade usada para gerar os conjuntos de dados e levantou consultas em relação à conformidade com o GDPR.”
Ele também acrescentou que acredita que “uma ou mais disposições do GDPR e/ou da Lei podem ter sido e/ou estão sendo violadas em relação aos dados pessoais dos usuários do Twitter”.
O DPC, que atua como o principal cão de guarda do Twitter na UE, quer determinar se o gigante da mídia social cumpriu suas obrigações como controlador de dados em relação ao processamento de dados do usuário e se violou quaisquer disposições do Regulamento Geral de Proteção de Dados (EU GDPR) ou a Lei de Proteção de Dados de 2018.
Há dois anos, o DPC multou o Twitter em €450.000 (~R$2.492.370,00) por não notificar o DPC sobre uma violação dentro do prazo de 72horas exigido pelo GDPR e por documentação inadequada da violação.
Em novembro de 2021, o DPC também multou a Meta em €265 milhões (~R$1,368,937,000.00) por um grande vazamento de dados no Facebook que expôs as informações pessoais de centenas de milhões de usuários em todo o mundo.
Os dados do usuário do Facebook também foram compartilhados em um conhecido fórum de hackers, permitindo que os agentes de ameaças os usassem para ataques direcionados.
Dados roubados de usuários do Twitter estão à venda desde julho
Em julho de 2022, as informações privadas de mais de 5,4 milhões de usuários do Twitter foram colocadas à venda em um fórum de hackers por US$30.000.
Embora a maioria dos dados estivesse disponível publicamente, como IDs do Twitter, nomes, nomes de login, locais e status verificado, o banco de dados vazado também incluía informações não públicas, como endereços de e-mail e números de telefone.
Esses dados foram coletados em dezembro de 2021 por meio de uma vulnerabilidade da API do Twitter divulgada por meio do programa de recompensas de bugs HackerOne, que permitia que qualquer pessoa enviasse números de telefone ou endereços de e-mail à API para vinculá-los ao ID do Twitter associado.
Depois que a BleepingComputer compartilhou uma amostra dos registros de usuários roubados com o Twitter, a empresa confirmou que havia sofrido uma violação de dados vinculada a invasores usando esse bug da API, que foi corrigido em janeiro de 2022.
BleepingComputer found that the bug was exploited by Pompompurin, the owner of the Breached hacking forum, who also harvested the information of an additional 1.4 million suspended Twitter users using a different API. This brought the total number of Twitter profiles scraped for private information to almost 7 million.
During September and November, the same database containing 5,485,635 Twitter user records was also shared for free on a hacking forum.
The records contain a wealth of public and private user data, including personal email addresses or phone numbers, as well as publicly scraped data, such as the Twitter ID, name, screen name, verified status, location, URL, description, follower count, account creation date, friends count, favorites count, statuses count, and profile image URLs.
O BleepingComputer descobriu que o bug foi explorado por Pompompurin, o proprietário do fórum de hackers Breached, que também coletou as informações de mais 1,4 milhão de usuários suspensos do Twitter usando uma API diferente. Isso elevou o número total de perfis do Twitter raspados para obter informações privadas para quase 7 milhões.
Durante setembro e novembro, o mesmo banco de dados contendo 5,485,635 de registros de usuários do Twitter também foram compartilhados gratuitamente em um fórum de hackers.
Os registros contêm uma riqueza de dados públicos e privados do usuário, incluindo endereços de e-mail ou números de telefone pessoais, bem como dados coletados publicamente, como ID do Twitter, nome, nome de tela, status verificado, localização, URL, descrição, contagem de seguidores, data de criação da conta, contagem de amigos, contagem de favoritos, contagem de status e URLs de imagem de perfil.
Dados do Twitter copiados à venda (BleepingComputer)
Olá, hoje apresento a vocês os dados coletados de vários usuários que usam o Twitter por meio de uma vulnerabilidade. (5485636 usuários para ser exato)
Esses usuários variam de Celebridades a Compenies, aleatórios, OGs, etc…
Os dados coletados variam de números de telefone e e-mail a todas essas contas.
Amostra: imagem desfocada – Imagem Traduzida
Dados pertencentes a dezenas de milhões de outros usuários também roubados
O especialista em segurança Chad Loder também revelou no Twitter e Mastodon detalhes sobre um despejo de dados ainda maior, potencialmente contendo milhões de registros do Twitter com números de telefone pessoais que foram coletados usando um bug de API corrigido anteriormente e algumas informações disponíveis publicamente, como status verificado, nomes de contas, ID do Twitter, biografia e nome de tela.
“Acabei de receber evidências de uma violação massiva de dados do Twitter afetando milhões de contas do Twitter na UE e nos EUA”, disse Loder.
“Entrei em contato com uma amostra das contas afetadas e eles confirmaram que os dados violados são precisos. Essa violação ocorreu antes de 2021.”
O BleepingComputer verificou com vários usuários afetados que os números de telefone nesta violação de dados são válidos.
Vale a pena notar que nenhum dos números de telefone neste banco de dados vazado estava presente nos dados originais vendidos em agosto de 2002, demonstrando a troca significativa de dados de usuários do Twitter entre os agentes de ameaças e a extensão da violação de dados além do que era conhecido anteriormente.
Informações sobre o maior vazamento de dados do Twitter compartilhado no Mastodon (BleepingComputer)
A enorme violação de dados do Twitter é real. Aqui está uma pequena oferta de prova. Há dados de países inteiros no conjunto de dados. – Imagem Traduzida
Também fomos informados de que o segundo banco de dados vazado contém mais de 17 milhões de registros, embora essa informação não tenha sido confirmada de forma independente.
A BleepingComputer entrou em contato com o Twitter sobre esse despejo de dados adicionais de informações privadas do usuário, mas ainda não recebeu uma resposta.
Fonte: BleepingComputer, Sergiu Gatlan
