Pior falha de segurança no Twitter pode estar longe do fim

Essa semana o Twitter sofreu a pior falha de segurança de sua história. Contas de famosos como o dono da Tesla e SpaceX, Elon Musk, o fundador da Amazon, Jeff Bezos, o criador do Windows, Bill Gates, o candidato a presidente dos Estados Unidos, Joe Biden e o ex-presidente americano, Barack Obama foram sequestradas por hackers. Todas as mensagens foram direcionadas a uma tentativa de venda de bitcoins, um dos diversos tipos de criptomoedas existentes.

A mensagem publicada nesses perfis dizia que, se um usuário encaminhasse uma quantia em bitcoins para determinada conta, receberia o dobro de volta, como vemos "Bill Gates" sugerindo aqui abaixo.

"Todo mundo está me perguntando como ter de volta e agora é a hora. Eu estou dobrando todos os pagamentos enviados ao meu endereço de bitcoin pelos próximos 30 minutos. Você envia 1.000 dólares e eu mando de volta 2.000."

Como dá para hackear tantas contas assim? Um vírus poderoso? Tentar quebrar a senha de forma bruta? Clonar o celular dessas pessoas de algum modo? Nenhum deles deve utilizar como senha "amor1234", acredito. Então, como foi possível isso? O Twitter busca compreender como foi o passo a passo dessa invasão, mas o que sabemos é que ele não poderia ser evitado, pelo menos por parte das vítimas.

A situação é tão grave que até mesmo o FBI (polícia federal americana) está envolvida. O principal caminho (e o mais coerente) é que tenha sido utilizada engenharia social como alicerce para a invasão. As investigações preliminares apontam que os hackers teriam subornado alguns colaboradores do Twitter para ter acesso aos sistemas internos que dá acesso a todas as contas do serviço. É uma função conhecida como "Modo Deus" (God"s Mode, em inglês). Um ataque feito dessa forma não pode ser evitado nem pelas práticas de segurança recomendadas aos usuários, como uso autenticação de dois fatores, senhas complexas e conexão apenas por redes privadas.

Pelo menos uma conta e credenciais de um funcionário foram assumidas e usadas para obter acesso a este acesso de superusuário, permitindo que o invasor controlasse a maioria das contas do Twitter. Não adianta ter o sistema mais avançado no mundo de segurança, quando é o fator humano a ser burlado. Não existe um manual sobre como realizar tal ato. Absolutamente todas as formas de se enganar alguém são postas em prática a fim de se chegar ao fim, que, no caso, foram os acessos ao sistema interno do Twitter.

É realizada uma pesquisa sobre quais pessoas teriam acesso a esses sistemas e, dentre elas, quais seriam mais suscetíveis a este tipo de prática. Há alguns anos quando o universo de jogos online ainda era mato no Brasil e a conexão discada reinava, existia um jogo chamado Gunbound, onde o primeiro lugar sofreu justamente um ataque de engenharia social. Sua conta não foi hackeada, simplesmente. Os hackers utilizaram dessa técnica para se aproximar do jogador, ganharam sua confiança e, após, praticaram o crime. No filme "Truque de Mestre" (Now You See Me, 2013) essa técnica é usada com frequência, sobretudo, para descobrir senhas e burlar sistemas.

Diversas mágicas em Truque de mestre utilizam a técnica de engenharia social. Foto: Divulgação

Até o momento, foi identificado que US$ 122 mil (pouco mais de 600 mil reais na conversão direta) foram levantados pelos hackers. O ataque de quarta-feira ocorreu em ondas. Primeiro, os invasores usavam seu acesso às ferramentas internas do Twitter para assumir contas com nomes de usuário distintos como @6, @axious ("ansioso") ou @y. Em seguida, o ataque atingiu as contas do Twitter de líderes e empresas de criptomoeda proeminentes. A próxima onda incluiu muitas das contas mais populares, incluindo aquelas pertencentes a líderes políticos, titãs da indústria e artistas de destaque.

Uma captura de tela mostrando o back-end do Twitter para a conta @ R9, no ‘Modo Deus’.

O Twitter disse que 130 contas foram alvo do incidente no total. Os invasores conseguiram, ainda, enviar tweets de um subconjunto de contas menor. Ainda não estava claro se dados particulares, como mensagens diretas, foram acessados.

Todo esse embróglio acontece às vésperas da eleição presidencial americana e da nossa, para eleger prefeitos e vereadores. Nessa situação, o fim foi meramente financeiro e, de acordo com especialistas, amador. Mas imaginem o impacto disso se um hacker começa a publicar como se encarnasse uma persona. Em uma época cujo governantes gostam de usar o Twitter para comunicações oficiais, como Jair Bolsonaro e Donald Trump, os efeitos seriam catastróficos.

A invasão e a incapacidade da empresa de descobrir rapidamente o que aconteceu, é um grande constrangimento para o Twitter. O que vimos essa semana provavelmente não foi o fim do incidente. Se esses invasores tiveram acesso às mensagens diretas e particulares, isso ainda não acabou.