Ataque pirata atinge 32,8 milhões de contas do Twitter

A informação vem do site LeakedSource, que tem um motor de busca para credenciais roubadas e recebeu uma cópia do repositório de dados agora disponíveis na dark web. Os utilizadores podem usar o motor de busca para descobrirem se as suas informações do Twitter estão neste pacote.

A LeakedSource recebeu os dados do utilizador “Tessa88@exploit.im”, que já lhes tinha enviado a fuga da semana passada na rede social russa VK.

No total, são 32,88 milhões de registos, que incluem endereço de email, nome de utilizador, por vezes um segundo email e a password. “Temos forte evidências de que o Twitter não foi pirateado”, explicam os autores da LeakedSource, “o consumidor é que foi.” Ou seja: os piratas usaram códigos maliciosos para infectarem os navegadores dos utilizadores e foi assim que conseguiram compilar esta base de dados gigantescas. A LeakedSource contactou vários utilizadores do Twitter para confirmar a validade dos dados vazados e todos estavam corretos.

“A explicação para isto é que dezenas de milhões de pessoas foram infectadas por malware, e este enviou aos hackers todos os nomes de utilizadores e passwords guardadas nos navegadores Chrome e Firefox, de todo os sites, incluindo do Twitter”, atesta a LeakedSource.

As passwords foram roubadas diretamente dos utilizadores, o que explica que estejam em texto simples (sem encriptação nem ‘hashing’).

O site também partilhou o top de passwords usadas por estes utilizadores do Twitter, que são todas numéricas e básicas. O top 5 começa com a insuperável “123456”, segue com “123456789”, “qwerty” e “password.” Apesar de todos os avisos dos especialistas, são muitos os cibernautas que continuam a usar palavras-passe extremamente fracas. Por curiosidade, em 40º está a password “pakistan” e em 43º “samsung.”

O Twitter acabou por enviar um comunicado ao TechCrunch garantindo que os seus sistemas estão seguros. “Estamos confiantes de que estes nomes de utilizador e credenciais não foram obtidos numa fuga de informação do Twitter – os nossos sistemas não foram atacados. Na verdade, temos estamos a trabalhar para manter as contas protegidas comparando os nossos dados com aqueles que foram partilhados em recentes fugas de passwords.”

Este é apenas mais um incidente de vários que aconteceram nas últimas semanas. O LinkedIn sofreu uma fuga de 100 milhões de contas, o MySpace 360 milhões e o Tumblr 65 milhões.