Malware é comandado por códigos escondidos em memes do TwitterComo voltar à ordem cronológica na timeline do Twitter
A rede social minimizou o vazamento, dizendo que não houve exposição de números completos de telefone ou qualquer outra informação pessoal; que as pessoas afetadas já foram notificadas; e que a empresa começou a trabalhar para resolver a falha em 15 de novembro, tendo concluído os trabalhos no dia seguinte. Mas o comunicado chama a atenção para a origem do ataque, que se aproveitou de uma falha no formulário de suporte. “Especificamente, notamos um grande número de consultas vindo de endereços IP individuais localizados na China e na Arábia Saudita. Embora não possamos confirmar com precisão a intenção, é possível que alguns desses IPs tenham vínculos com atores patrocinados por governos”, diz a rede social. Basicamente, qualquer pessoa podia ter acesso ao código de área de um usuário por meio do “Esqueci minha senha”. Bastava clicar no link para resetar a senha e informar que você não tinha mais acesso ao e-mail cadastrado no Twitter. Então, o formulário de suporte era carregado com um campo para preencher o número de telefone, sendo que o código de área correto já era selecionado automaticamente. Nesta terça-feira (18), o pesquisador de segurança Peerzada Fawaz Ahmad Qureshi relatou ao TechCrunch que descobriu o bug há dois anos e chegou a reportá-lo para o Twitter, mas nada foi feito para consertá-lo. Na época, a empresa julgou que o código de área de um usuário não era uma informação sensível. No entanto, ele diz que o código de área já é suficiente para identificar onde o dono de uma conta mora — o que pode ser perigoso em lugares onde a liberdade de expressão é restrita. Inclusive, os dois países que levantaram suspeitas do Twitter têm sérios problemas com esse tema. O Twitter não divulgou quantos usuários foram afetados, e diz que nenhuma ação precisa ser tomada.
