Twitter é atacado e brecha causa exposição de senhas

Dezenas de milhares de endereços de e-mails e senhas de usuários do Twitter caíram na rede. A informação que comprometeu 58.978 combinações de senhas e usernames apareceu na segunda-feira (07/05) no Pastebin. Apesar do microblog afirmar que investiga a falha, o microblog diminuiu a importância do tamanho e severidade da violação dos dados.

?Estamos investigando a situação. Vale a pena reforçar que até agora descobrimos que a lista com as supostas contas e senhas no Pastebin consitem em mais de 20 mil cópias, entre elas muitas contas de spam que já foram suspensas e muitas credenciais de login que não estão conectadas (isso significa que a senha e o username não são associados um ao outro)?, afirmou Rachel Bremer, porta voz da empresa.

A maioria dos invasores que jogam dados no Pastebin divulga apenas uma parte de seus dados, então linkam um arquivo torrent para qualquer um que queira baixar todo conjunto de dados. Mas nesse caso quem divulgou os dados o fez por meio de cinco postagens. Isso foi necessário, já que o Pastebin impôs um limite de 512 Kb em cada arquivo.

Enquanto a rede social continua com sua investigação, a empresa disse que já contatou os usuários afetados. ?Pedimos redefinição de senha para as contas que possam ter sido afetadas. Para os que estão preocupados com a possibilidade, temos sugestões de como redefinir a senha entre outras coisas na nossa Central de Ajuda?.

A violação pode ter atingindo cerca de 0,02% da base de usuários da rede social.

Quem vazou as informações e por quê? Graças ao anonimato concedido pelo Pastebin e nenhum grupo assumindo a violação, não está claro. Mas é bem possível que as credenciais tenham vazado por meio de ataque pishing, que teria levado os usuários a divulgar detalhes de suas contas. Se foi essa a causa, exclui toda a possibilidade de culpa do Twitter e de suas práticas de segurança.

Essa questão é relevante porque no ano passado, como parte com acordo com a Federal Trade Commission (FTC ? Comissão federal de comércio), a rede social concordou em melhorar as informações de práticas de segurança, sob auditora regular por dez anos, e evitar fazer declarações enganosas sobre o assunto pelos próximos 20 anos.

O acordo foi feito como cobrança do FTC já que a rede social ?falhou em salvaguardar as informações pessoais dos usuários e colocou sua privacidade em risco? depois que invasores conseguiram controle administrativo todos do Twitter por duas vezes em 2009.

Como parte do acordo, o microblog concordou em designar funcionários para coordenarem ? bem como se responsabilizarem ? as informações de segurança e programas de privacidade. A rede social também concordou em ajustar ?garantias razoáveis? para acabar com os riscos de informação de segurança encontrados e armazenar dados de forma segura.