Twitter luta para se livrar de um hacker dentro de seu território

Após pior falha de segurança de sua história, empresa ainda tenta entender o que aconteceu

PUBLICIDADE

Por Mike Isaac, Sheera Frenkel e Kate Conger
Twitter ainda tenta entender o ataque da última quarta Foto: Kacper Pempel/Reuters

Enquanto os investigadores forenses do Twitter se apressavam na quarta-feira, 15, para descobrir a origem de uma das piores invasões da história da empresa, a equipe chegou a uma conclusão surpreendente: a invasão estava acontecendo por meio de uma conta de um funcionário da casa.

PUBLICIDADE

Mas mesmo na tarde de quinta-feira, 24 horas depois que os hackers lançaram um golpe com bitcoins envolvendo as contas de líderes políticos, como o ex-vice-presidente Joe Biden, e titãs do setor, como Elon Musk, os pesquisadores da empresa ainda estavam lutando para identificar muitos outros aspectos básicos da violação, incluindo se um funcionário havia sido cúmplice. A empresa também ainda estava identificando quantas contas foram afetadas e se os invasores obtiveram acesso às informações pessoais das contas, como mensagens privadas.

Algumas coisas eram certas. Os investigadores sabem que pelo menos uma conta e credenciais de um funcionário foram apropriadas e usadas para obter acesso a um painel interno, permitindo ao invasor controlar a maioria das contas do Twitter, de acordo com duas pessoas com informações a respeito da investigação da empresa. Elas concordaram em falar apenas sob anonimato porque a investigação ainda estava em andamento.

No entanto, muitos dos detalhes permanecem incertos, disseram as pessoas. Os investigadores ainda estavam tentando determinar se os hackers levaram o funcionário a entregar as informações de login. O Twitter sugeriu na quarta-feira, 15, que os hackers usaram a "engenharia social", uma estratégia para obter senhas ou outras informações pessoais, apresentando-se como uma pessoa confiável como um representante da empresa. Mas outra linha de investigação estuda se um funcionário do Twitter foi subornado por suas credenciais, algo que uma pessoa que assumiu a responsabilidade da invasão disse ao site de tecnologia Motherboard.

Publicidade

O FBI disse que estava investigando a invasão. "No momento, as contas parecem ter sido comprometidas para perpetuar a fraude de criptomoeda", disse a agência em comunicado. "Aconselhamos o público a não ser vítima desse golpe enviando criptomoeda ou dinheiro no que se refere a este incidente."

O Twitter afirmou em comunicado: "Tomamos medidas para proteger ainda mais nossos sistemas e continuaremos compartilhando o que descobrirmos ao longo de nossa investigação".

A invasão e a incapacidade da empresa de descobrir rapidamente o que aconteceu é um grande constrangimento para o Twitter. No ano passado, em resposta às revelações prejudiciais que a desinformação se espalhou amplamente na plataforma durante a eleição presidencial de 2016, Jack Dorsey, CEO do Twitter, priorizou a promoção de tuítes saudáveis e confiáveis. A invasão de contas de grande visibilidade para compartilhar uma fraude mostrou que o Twitter permanece despreparado para as ameaças à segurança que enfrenta.

O ataque também levantou questões quanto a segurança nas eleições, principalmente porque líderes políticos estavam entre os atacados. Se as mensagens enviadas pelos hackers fossem de natureza política, em vez de uma fraude financeira - talvez em relação ao fechamento de locais de votação no dia das eleições - isso poderia manipular o comparecimento das pessoas.

Publicidade

A conta do presidente Donald Trump não foi afetada pela invasão, afirmou na quinta-feira Kayleigh McEnany, secretária de imprensa da Casa Branca. A conta de Trump obteve proteção extra após incidentes passados, de acordo com um funcionário sênior do governo e um funcionário do Twitter, que falaram anonimamente porque as medidas de segurança eram privadas.

O Comitê Selecionado de Inteligência do Senado disse que solicitaria informações do Twitter a respeito da invasão. "A possibilidade de pessoas com más intenções assumir contas importantes, mesmo que momentaneamente, sinaliza uma vulnerabilidade preocupante neste ambiente de mídia, explorável não apenas para fraudes, mas também para esforços mais impactantes para causar confusão, destruição e danos políticos", disse o senador democrata da Virginia Mark Warner, vice-presidente do comitê.

O ataque de quarta-feira ocorreu em ondas. Primeiro, os invasores usaram seu acesso às ferramentas internas do Twitter para assumir contas com nomes de usuário distintos como @6, uma conta que já pertenceu ao pesquisador e hacker de segurança Adrian Lamo. Em seguida, o ataque atingiu as contas do Twitter de dirigentes e empresas de criptomoeda proeminentes. A próxima onda incluiu muitas das contas mais populares, incluindo aquelas pertencentes a líderes políticos, titãs da indústria e artistas de destaque.

As mensagens eram uma versão de uma fraude de longa data, na qual hackers se apresentam como figuras públicas no Twitter e prometem igualar ou até triplicar quaisquer fundos enviados para suas carteiras de bitcoin. Mas o golpe na quarta-feira foi o primeiro a usar as contas reais de figuras públicas.

Publicidade

Os hackers receberam US$ 120 mil em bitcoins em 518 transações de todo o mundo, de acordo com a Chainalysis, uma empresa de pesquisa que rastreia o movimento de criptomoedas. A maioria das vítimas tinha carteiras de bitcoin associadas à Ásia, mas cerca de um quarto veio dos Estados Unidos, de acordo com outra empresa de pesquisa de criptomoedas, a Elliptic.

Logo após o dinheiro entrar na carteira, os hackers começaram a movimentar o dinheiro em um padrão complicado de transações que ajudarão a obscurecer a fonte e a dificultar o rastreamento, segundo a Chainalysis.

"Parece quealguém com algum conhecimento em informática, mas não alguém que usa as formas mais sofisticadas de lavar as moedas", disse Jonathan Levin, diretor de estratégia da Chainalysis.

Na quinta-feira, havia questões remanescentes a respeito do que os invasores fizeram com seu acesso. A Area 1 Security, uma empresa de segurança cibernética, documentou um aumento nos e-mails de spear-phishing enviados de contas que representavam as mesmas pessoas atacadas no Twitter, como o bilionário Bill Gates. Os e-mails pediam que as pessoas enviassem dinheiro para a mesma carteira de bitcoin citada no ataque do Twitter.

Publicidade

A violação levanta questões significativas em relação a como os sistemas internos do Twitter funcionam e como se apropriar do acesso de um funcionário pode dar a um invasor carta branca sobre algumas das contas mais populares e de maior alcance do mundo.

Em um post de seu blog na quinta-feira, 16, um especialista em segurança, que viu a invasão assumir uma conta que ele administra, detalhou como alguém com acesso a ferramentas administrativas poderia efetivamente entrar na maioria das contas do Twitter usando uma função de redefinição de senha. O método foi usado nas apropriações de contas na quarta-feira, de acordo com duas pessoas familiarizadas com o ataque.

Pesquisadores de segurança também questionaram por que o Twitter não tinha melhores ferramentas para monitorar atividades suspeitas nas contas dos funcionários. Muitas empresas têm sistemas que as alertam se um funcionário entrar em dados confidenciais ou alterar senhas econtas de e-mails várias vezes em um curto período, disse Rachel Tobac, hacker e CEO da SocialProof Security, que trabalha com empresas para treiná-las e testá-las em engenharia social para manter as empresas seguras. / TRADUÇÃO DE ROMINA CÁCIA

Tudo Sobre
Comentários

Os comentários são exclusivos para assinantes do Estadão.