Um grupo de engenheiros e pesquisadores de segurança chamado Insinia Security colocou o Twitter contra a parede após invadir contas de celebridades por meio de um método que a rede social de microblogs disse estar protegida. O Twitter disse que fechou a referida brecha em atualização feita em 28 de dezembro, mas, no dia 31, ela foi o ponto de abertura para acesso não autorizado a contas com muitos seguidores.
A invasão é feita por meio de SMS spoofing, ou seja, “enganar” a plataforma do Twitter ao publicar um tweet via SMS. Trata-se de um recurso antigo da rede, remetente à época em que smartphones e aplicativos dedicados não eram tão populares. Funcionando corretamente, a ferramenta permite publicar um tweet enviando uma mensagem de texto vinda de um número associado à conta. Neste caso, porém, a plataforma é enganada a pensar que se trata do número correto, quando na verdade a mensagem veio de outro aparelho.
Falha de segurança teoricamente fechada pelo Twitter foi usada em novas invasões de perfis
“Um porta-voz do Twitter disse à imprensa na última sexta-feira (28) que havia ‘resolvido um bug que permitia que certas contas com um número de celular do Reino Unido conectado fossem alvos de SMS spoofing’”, disse a rede ao portal americano Gizmodo. “Contudo, durante uma conversa, os hackers que expuseram o erro e postaram tweets não autorizados foram capazes de reproduzir o experimento após as afirmações do Twitter”.
Os hackers em questão disseram ter notificado os reais donos dos perfis invadidos, mas que não pediram por permissão expressa. A ideia de atacar perfis de celebridades e com muitos seguidores também foi premeditada: o grupo buscou alertar o máximo de pessoas e atrair quanta atenção pudesse com a ação.
Algumas das celebridades atacadas foram o jornalista e radialista irlandês Eamonn Holmes e o diretor de cinema e documentarista britânico Louis Theroux, mas não está claro quantas contas estariam vulneráveis ao método. O Twitter ainda não se pronunciou sobre as novas invasões.
Fonte: Canaltech
