O dia de ontem (15 de Julho) foi um dia negro para o Twitter, com atacantes a conseguirem enviar tweets fraudulentos nas contas de pessoas e empresas famosas e verificadas.
Tal como muitas outras áreas da internet, o Twitter está repleto de bots que apenas se dedicam a enviar spam e campanhas fraudulentas que tentam enganar os mais desatentos. Por exemplo, é praticamente garantido que qualquer mensagem de Elon Musk tenha uma resposta de uma conta falsa que se faça passar por ele, e que promete enviar muito mais dinheiro em criptomoedas a quem lhe enviar algumas. É o tipo de coisa que é fácil de detectar, pois ninguém "dá nada" e essas contas revelam-se como falsas ao se ter um pouco mais de atenção. Mas desta vez foi diferente...
Estes atacantes conseguiram ter acesso ao sistema interno de gestão do próprio Twitter (aparentemente subornando um funcionário ou usando engenharia social para os enganar), e com isso puderam enviar estas mensagens de spam com campanhas fraudulentas a partir das contas oficiais de pessoas como Elon Musk, Bill Gates, Barack Obama, Jeff Bezos e outras; e de empresas como a Apple, Uber e outras.
We are aware of a security incident impacting accounts on Twitter. We are investigating and taking steps to fix it. We will update everyone shortly.— Twitter Support (@TwitterSupport) July 15, 2020
O Twitter lá acabou por recuperar o controlo da situação passadas algumas horas, mas agora terá que esclarecer exactamente o que se passou e explicar como é possível que um único funcionário, independentemente da sua posição na empresa, consegue ter acesso a enviar tweets em nome de qualquer utilizador da plataforma? Isso é uma flagrante e inadmissível falha de segurança para uma empresa com a dimensão do Twitter. Enviar um tweet em nome de um qualquer utilizador deveria ser algo "impossível" de fazer, a não ser talvez que se combinassem uma série de factores de segurança, como a necessidade de serem aprovados por diferentes pessoas na empresa.
Um rude golpe para a credibilidade do Twitter, se tudo o que bastou foi enganar um único funcionário para poder levar a cabo uma destas campanhas - que em poucas horas já contava com mais de 118 mil dólares em bitcoins transferidos pelas vítimas mais crédulas para os endereços fornecidos pelos atacantes.
Sem comentários:
Enviar um comentário (problemas a comentar?)