Funcionários do Twitter repassam informações sobre usuários
Foto: ALASTAIR PIKE / AFP
Mais de mil funcionários e terceirizados do Twitter tinham acesso a ferramentas internas que poderiam alterar as configurações de contas de usuários e passar os dados a terceiros, disseram dois ex-funcionários do site, referindo-se ao ataque de hackers da semana passada que afetou mais de 300 milhões de pessoas no mundo pedindo depósitos em criptomoedas e prometendo devolvê-los em dobro.
O Twitter e o FBI estão investigando a violação que permitiu aos hackers tuitar repetidamente de dentro de contas verificadas como do candidato presidencial democrata nos EUA Joe Biden, do bilionário Bill Gates, do executivo-chefe da Tesla Elon Musk e do ex-prefeito de Nova York Mike Bloomberg.
O Twitter disse no sábado que os autores “manipularam um pequeno número de funcionários e usaram suas credenciais” para acessar ferramentas e transferir o acesso a 45 contas.
Na quarta-feira, ele afirmou que os hackers poderiam ter lido mensagens diretas de e para 36 contas, mas não identificaram os usuários afetados.
Os ex-funcionários familiarizados com as práticas de segurança do Twitter disseram que muitas pessoas poderiam ter feito a mesma coisa – mais de mil no início de 2020, incluindo algumas de empresas terceirizadas como a Cognizant.
Hacker tipo exportação: Cibercriminosos brasileiros expandem fraudes para EUA, países europeus e até China
O Twitter se recusou a comentar sobre esse número e não quis dizer se a quantidade de pessoas com acesso interno diminuiu antes do hack ou desde então.
A empresa vinha procurando um novo chefe de segurança para proteger melhor seus sistemas e treinava funcionários para resistir a truques de terceiros, disse o Twitter.
A Cognizant não respondeu a uma solicitação de comentário.
— Parece que há muitas pessoas com acesso — disse Edward Amoroso, ex-diretor de segurança da AT&T.
Segundo ele, as responsabilidades da equipe deveriam ter sido divididas, com direitos de acesso limitados e com mais de uma pessoa necessária para fazer as alterações mais sensíveis de uma conta.
— Para garantir a segurança cibernética, você não pode esquecer as coisas chatas de fazer — afirmou.
Ameaças de pessoas de dentro da empresa, especialmente equipes de suporte externas com salários mais baixos, são uma preocupação constante para empresas que atendem a um grande número de usuários, dizem especialistas em segurança cibernética.
Eles explicam que, quanto maior for o número de pessoas que puderem alterar as configurações principais, maior deve ser a supervisão.
Os ex-funcionários disseram que o Twitter até havia melhorado no processo de registrar as atividades de seus funcionários após tropeços anteriores, quando, por exemplo, um empregado foi acusado em novembro passado de espionagem para o governo da Arábia Saudita e seus rastros devidamente investigados.
Mas eles atalham que só alertas frequentes e revisões constantes podem impedir violações.
O ex-diretor de segurança da Cisco Systems, John Stewart, disse que as empresas com amplo acesso precisam garantir, em última análise, “que as pessoas autorizadas e com maior poder de acesso estejam fazendo somente o que deveriam estar fazendo”.
Ainda não se sabe quem exatamente desencadeou a onda de ataques hackers, mas pesquisadores externos como Allison Nixon, da Unidade 221B, dizem que o incidente parece vinculado a um grupo de cibercriminosos que vendem nomes raros de contas com um ou dois caracteres.
Embora as evidências públicas vinculando os hackers a essas circunstâncias sejam circunstanciais, os identificadores ultracurtos dessas contas do Twitter foram os primeiros a serem sequestrados.
Além disso, os fóruns em que esses hackers estavam ativos há muito tempo se vangloriam de ter acesso a usuários do Twitter, de acordo com Nixon e Nick Bax, analista do StopSIMCrime.
Bax disse que viu referências em fóruns a “conexões do Twitter” ou “representantes do Twitter” — os termos usados para descrever os funcionários cooperativos do site – desde 2017.
O potencial envolvimento de cibercriminosos de baixo nível tem alarmado profissionais em particular devido à implicação de que um governo hostil possa causar estragos ainda maiores.
O acesso às contas de políticos dos EUA foi limitado a um número muito menor de pessoas depois que um funcionário desonesto deletou brevemente a conta do presidente Donald Trump há dois anos.
Isso poderia explicar por que a conta de Biden foi invadida, mas não a de Trump.
O Twitter agora deve expandir o número de contas protegidas, disse o ex-engenheiro de segurança do Twitter John Adams. Entre outras coisas, as contas com mais de dez mil seguidores devem precisar de pelo menos duas pessoas para alterar as configurações principais.
Especialistas em segurança disseram estar preocupados com o fato de o Twitter ter muito trabalho a fazer e muito pouco tempo antes que a campanha para as eleições de 3 de novembro nos EUA se intensifique.
Em uma teleconferência para discutir os resultados trimestrais da empresa na quinta-feira, o executivo-chefe do Twitter, Jack Dorsey, reconheceu os erros do passado.
— Ficamos para trás, tanto em nossas proteções contra a engenharia social de nossos funcionários quanto em restrições às nossas ferramentas internas — admitiu Dorsey aos investidores.