Na noite da última quarta-feira, 15, o Twitter sofreu a pior falha de segurança de sua história – um problema que permitiu que criminosos tivessem acesso a contas de celebridades, políticos e empresários. A empresa ainda tenta entender o que causou a invasão, mas é certo até aqui que nenhuma das vítimas poderia ter evitado o sequestro de suas contas. Com poucos recursos de defesa, a invasão coloca em xeque uma das principais forças da rede social nos últimos anos: ser um canal de comunicação direto e oficial de governos, chefes de Estado, empresários e grandes companhias com qualquer pessoa.
Na noite da quarta-feira, 15, após uma instabilidade que perdurou por horas, a empresa afirmou que a porta de entrada para o ataque foram seus funcionários. "Detectamos o que acreditamos ser um ataque coordenado de engenharia social por pessoas que miraram com sucesso em alguns de nossos funcionários com acesso a sistemas internos e ferramentas", declarou a rede social em uma conta oficial.
O site americano Vice foi além e afirma que hackers teriam subornado os funcionários da empresa para ter acesso aos sistemas internos que dá acesso a todas as contas do serviço. É uma função conhecida como “Modo Deus” (God’s Mode, em inglês). Um ataque feito dessa forma não pode ser evitado nem pelas práticas de segurança recomendadas aos usuários, como uso autenticação de dois fatores, senhas complexas e conexão apenas por redes privadas.
“O ataque ao Twitter expõe uma fragilidade que a segurança da informação vive às voltas para resolver: o componente humano”, diz Carlos Affonso de Souza, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS-Rio). “Você pode ter o mais sofisticado sistema de segurança, mas ele jamais será completo se ele não levar em consideração o fator humano.”
Segundo o dfndr lab, laboratório especializado em segurança digital da startup brasileira PSafe, os cibercriminosos conseguiriam atingir potencialmente 328 milhões de vítimas. Não é um ataque trivial. “Um ataque direcionado como esse exige tempo, investimento e planejamento. Sempre é feito por mais de uma pessoa”, explica Alexandre Bonatti, diretor de engenharia da empresa de segurança Fortinet Brasil.
Bonatti explica que, nesses casos, os criminosos precisam inicialmente realizar uma pesquisa sobre quais funcionários têm os acessos ilimitados e quais desses teriam os perfis mais suscetíveis para serem enganados. Aqueles que, por exemplo, trabalham de perto com a área de segurança e tecnologia não estariam entre os alvos preferenciais.
Assim, é improvável, portanto, que os criminosos teriam mirado todos os funcionários do Twitter e chegaram por acidente a aquelas com as credenciais necessárias. “Isso traz questionamentos se um único funcionário deveria ter esse tipo de acesso amplo, se não seria mais adequado um sistema que exige mais de um funcionário”, diz Jéferson Campos Nobre, professor do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS). “Porém, é difícil imaginar qualquer plataforma na internet que não tenha um sistema parecido com o do Twitter”, diz.
O sistema de amplo acesso permite que a empresa, por exemplo, recupere contas de usuários. Sem ele, seria impossível para a rede social reativar uma conta que teve seu e-mail de recuperação afetado ou que foi atacada de outra forma. Todo o controle estaria nas mãos apenas dos usuários. “Por um lado, essa ferramenta de supervisão geral tem um impacto muito grande, como mostraram os ataques. Mas por outro, ela é útil para os usuários comuns. O interessante é que ela tivesse um processo de segurança mais avançado”, diz Campos.
São Tomé
Depois de um ataque como esses, é comum que as pessoas repensem suas atitudes online. “Nós trabalhamos na ideia de confiança zero (zero trust) para as pessoas. É bom desconfiar de tudo o que se faz no mundo online, tudo pode virar um problema. Isso ajudaria a reduzir a quantidade de material sensível armazenado nessas plataformas”, aconselha Bonatti, da Fortinet.
É algo importante porque ainda não está clara a profundidade do ataque da última quarta-feira. Por enquanto, sabe-se apenas que os criminosos puderam publicar mensagens na conta de pessoas como Jeff Bezos, Bill Gates e Elon Musk, alguns dos homens mais ricos do mundo, pedindo o depósito de bitcoins em uma carteira específica – até o momento, foi identificado que US$ 122 mil foram levantados pelos hackers.
A empresa de cibersegurança Kaspersky disse ainda que identificou e bloqueou acesso a mais de 200 domínios falsos preparados para serem usados pelos responsáveis pelo ataque. Não se sabe, por outro lado, se os criminosos tiveram acesso às mensagens privadas dessas contas. É um recurso que não possui criptografia de ponta a ponta – o recurso presente no WhatsApp, por exemplo, garante a privacidade das comunicações entre destinatário e remetente, não sendo possível a um terceiro (como o funcionário de uma empresa) visualizá-lo.
É algo preocupante, uma vez que chefes de Estado como Donald Trump e Jair Bolsonaro usam o Twitter como um canal de comunicação oficial. O mesmo vale para empresários como Elon Musk. E todos parecem longe desse método de “confiança zero” – usuários na rede social chegaram até a comentar que não se surpreenderam com o tuíte falso publicado na conta de Musk, por usar uma estrutura bastante parecida com os rompantes do presidente executivo da Tesla.
“Explorar uma tamanha oportunidade para dar um golpe de bitcoin parece também ser algo menos danoso do que poderia ter sido”, diz Souza. “Não é difícil imaginar o dano que essas comunicações privadas poderiam causar se fossem reveladas.” O temor quanto ao que foi
Outro problema de transformar o Twitter em canal oficial de comunicação é que o seu uso constante, e até tom pessoal adotado nele, pode induzir um grande grupo de pessoas a ser enganadas por mensagens falsas, como ocorreu no caso dos bitcoins. Em último caso, até um incidente diplomático poderia ter ocorrido.“Os atacantes poderiam ter colocado palavras na boca de presidentes, fazendo acusações, insultando ou mesmo provocando conflitos ou incidentes diplomáticos”, diz Souza. “É cedo para dizer que o pior já passou”.
