Anteontem, o Twitter sofreu a pior violação de segurança de sua história, um problema que permitia aos criminosos acessar as contas de celebridades, políticos e empresários. A empresa ainda está tentando entender o que causou a invasão, mas até agora é certo que nenhuma das vítimas poderia ter impedido o seqüestro de suas contas.
Com poucos recursos de defesa, o ataque põe em questão uma das principais forças da rede social nos últimos anos: ser um canal de comunicação direta e oficial para governos, chefes de estado, empresários e grandes empresas.
Na noite de quarta-feira, após horas de instabilidade, a empresa disse que seus funcionários eram a porta de entrada para o ataque. “Detectamos o que acreditamos ser um ataque coordenado de engenharia social por pessoas que atingiram com sucesso alguns de nossos funcionários com acesso a ferramentas e sistemas internos”, afirmou a rede social.
O site americano Vice foi além e alega que os hackers teriam subornado os funcionários da empresa para obter acesso a sistemas internos que fornecem acesso a todas as contas de serviço. É uma função conhecida como “Modo de Deus” (Modo de Deus). Esse ataque não pode ser evitado mesmo através das práticas de segurança recomendadas para os usuários, como o uso de autenticação de dois fatores, senhas complexas e a conexão apenas através de redes privadas.
“O ataque ao Twitter expõe uma fraqueza que a segurança da informação está constantemente enfrentando: o componente humano”, diz Carlos Affonso Souza, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS-Rio). “Você pode ter o sistema de segurança mais sofisticado, mas nunca estará completo sem levar em consideração o fator humano”.
Segundo especialistas, este não foi um ataque trivial. “É algo específico, que requer tempo, investimento e planejamento”, explica Alexandre Bonatti, diretor de engenharia da empresa de segurança Fortinet Brasil.
Bonatti explica que, nesses casos, os criminosos precisam, inicialmente, conduzir uma investigação sobre quais funcionários têm acesso ilimitado e quais deles teriam os perfis com maior probabilidade de serem enganados. Aqueles que, por exemplo, trabalham em estreita colaboração com segurança e tecnologia não estariam entre os alvos preferidos. Portanto, é improvável, portanto, que os criminosos tenham como alvo todos os funcionários do Twitter e atingiram acidentalmente aqueles com as credenciais necessárias.
O amplo sistema de acesso permite à empresa, por exemplo, recuperar contas de usuário. Sem ele, seria impossível para a rede social reativar uma conta que teve seu email de recuperação afetado ou atacado. “Por um lado, essa ferramenta de monitoramento geral tem um impacto muito grande. Por outro lado, é útil para usuários comuns. Precisa ter um processo de segurança mais avançado”, diz Jéferson Campos Nobre, professor da UFRGS.
Confiar em
A profundidade do ataque ainda não está clara. Por enquanto, sabe-se que os criminosos foram capazes de postar mensagens nas contas de pessoas como Jeff Bezos, Bill Gates e Elon Musk, alguns dos homens mais ricos do mundo, pedindo para depositar bitcoins em uma carteira específica; Até agora, foi identificado que US $ 122.000 foram levantados por hackers.
Por outro lado, não se sabe se os criminosos tiveram acesso a mensagens privadas dessas contas. É uma função que não possui criptografia de ponta a ponta: a função presente no WhatsApp, por exemplo, garante a privacidade das comunicações entre o destinatário e o remetente, e não é possível para terceiros (como um funcionário da empresa). Vejo
É um tanto preocupante, já que chefes de estado como Donald Trump e Jair Bolsonaro use o Twitter como um canal de comunicação oficial. “Explorar essa oportunidade de gerar um golpe de bitcoin também parece ser um pouco menos prejudicial do que poderia ter sido”, diz o diretor da ITS-Rio. “Não é difícil imaginar o dano que essas comunicações privadas poderiam causar se fossem reveladas.”
Outro problema ao transformar o Twitter em um canal oficial de comunicação é que seu uso constante e tom pessoal podem induzir um grande grupo de pessoas a ser enganado por mensagens falsas, como foi o caso dos bitcoins. “Os agressores poderiam ter colocado palavras na boca dos presidentes, acusado, insultado ou até causado incidentes diplomáticos”, diz Souza. “É muito cedo para dizer que o pior já passou”.
A informação é do jornal. O estado de S. Paulo.
