failsecurityA segurança do Twitter não é um dos pontos fortes do serviço. A prova disso são as várias invasões que o serviço sofreu em janeiro, maio e junho desse ano. Em um dos ataques, perfis de celebridades e outros com grande número de seguidores foram abduzidos com o propósito de publicar algo infame ou chulo. Na madrugada de hoje, no entanto, foi revelado um ataque ocorrido no último sábado (11) no dia 11 de junho que supera todos os anteriores.

Um hacker francês sob o pseudônimo de Croll (e que supostamente foi o mesmo que conseguiu acesso ao painel de admin do twitter em abril) obteve acesso à diversas contas de vários funcionários do Twitter através do sistema de email usado internamente, o Google Apps para empresas.

O método utilizado por Croll foi o mais simples possível: ele chutou a resposta para a pergunta secreta que se deve responder para resetar a senha do Gmail. Um dos chutes foi o certo. Croll conseguiu logar com sucesso no Gmail de Evan Williams, fundador do Twitter, e a partir dele conseguiu obter acesso às suas contas do Paypal, Amazon, Apple , AT&T e MobileMe, além do painel de administração interno do Google Apps do Twitter e da conta de Evan no GoDaddy, atual registrar do domínio twitter.com.

Outros três funcionários do serviço tiveram seus emails lidos e vasculhados, incluindo a da esposa de Evan, Sara. Um site francês que recebeu uma mensagem de Croll publicou alguns screenshots enviados por ele, além de dizer quais outras informações foram obtidas pelo hacker: plantas do novo escritório, números de cartão de crédito, telefones e até contratos de parcerias com a Microsoft, Nokia, Dell, AOL e Samsung.

Nesse ponto, aparece uma controvérsia. Ao acessar o email interno de funcionários do Twitter, Croll baixou todo e qualquer documento que achava pela frente, embrulhou todos para presente em um arquivo zip e enviou para Michael Arrington, do TechCrunch. Esse, por sua vez, disse que vai tornar público parte desses documentos, mas apenas aqueles que não comprometerem demais a vida das pessoas envolvidas. Arrington decidiu começar com o documento contendo a proposta para o programa de TV: FinalTweet.

Mais tarde, no fórum em que Croll tornou público as falhas de segurança do serviço, ele avisou que o Twitter acionou o FBI e por isso decidiu deletar os posts. [Mashable]

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Danillo Nunes
Hm, é verdade, não tinha pensado nisso.
Rafael Silva
(Eu acho que) Ev não guarda(va) todas as senhas no email, mas todas as contas do Paypal, Amazon, Apple e etc tinham como endereço principal o Gmail que Croll invadiu. Então ele basicamente pediu pra resetar a senha em todos os serviços e conseguiu acesso. Eu acho possível.
Danillo Nunes
"Croll conseguiu logar com sucesso no Gmail de Evan Williams, fundador do Twitter, e a partir dele conseguiu obter acesso às suas contas do Paypal, Amazon, Apple , AT&T e MobileMe" Isso parece meio fantasioso. A única maneira do hacker conseguir acessar essas contas através do Gmail é... se o cara guardava todas essas senhas nesse Gmail. E, convenhamos, se o sujeito realmente fazia isso, merece mesmo ser invadido.