Funcionários do Twitter abusaram de acesso a contas para espionar celebridades
Funcionários do Twitter com acesso administrativo de alto nível às contas abusaram regularmente de seus privilégios para espionar celebridades, incluindo a aproximação de suas localizações por meio de endereços de IP, de acordo com uma reportagem da Bloomberg. A matéria vai na mesma direção de uma apuração recente feita pela Reuters.
Mais de 1.500 funcionários e terceirizados no Twitter que lidam com pedidos de suporte interno e gerenciam contas têm privilégios de alto nível que permitem anular as configurações de segurança dos usuários e redefinir suas contas via backend do Twitter, bem como visualizar certos detalhes de contas como endereços IP, números de telefone e endereços de e-mail. Apenas uma conta foi destacada pela reportagem: a da cantora Beyoncé.
Pelo menos uma dessas credenciais foi usada em uma invasão no site no início deste mês, quando hackers publicaram um golpe de bitcoin em mais de 130 contas pertencentes a celebridades, políticos e líderes corporativos.
Posteriormente surgiram informações de que os atacantes também roubaram informações como o conteúdo de mensagens diretas de dezenas desses indivíduos, levantando a possibilidade de que os hackers pudessem realmente estar atrás de dados confidenciais em vez do esquema de bitcoin que renderia muito menos dinheiro do que outros ataques.
De acordo com a Bloomberg, investigadores federais e internos acreditam que os atacantes obtiveram acesso ao backend do Twitter ligando para pelo menos um dos mais de 1.500 trabalhadores por telefone e obtendo “informações de segurança”, sugerindo um ataque de phishing. Esta é a questão central – cada uma dessas mais de 1.500 pessoas com esse acesso é um ponto fraco em potencial, especialmente se a supervisão de como eles utilizam esse acesso for negligente.
E parece ser esse o caso, conforme a reportagem da Bloomberg que conversou com quatro ex-funcionários de segurança do Twitter e meia dúzia de pessoas “próximas ao Twitter” dizendo que a gerência ignorou avisos sobre um número desnecessariamente alto de trabalhadores com ferramentas poderosas, pois se concentrava no desenvolvimento de produtos e recursos para consumidores e anunciantes.
Dois dos ex-funcionários do Twitter disseram à Bloomberg que projetos como o aumento da segurança “do sistema que abriga os arquivos de backup do Twitter ou o aumento da supervisão do sistema usado para monitorar a atividade dos terceirizados foram, às vezes, engavetados por produtos de engenharia destinados a aumentar a receita”.
Entretanto, alguns dos que tinham acesso (alguns dos quais eram terceirizados da Cognizant em até seis locais de trabalho separados) abusaram do acesso para ver detalhes, incluindo endereços IP dos usuários. Os executivos não priorizaram o policiamento da equipe de suporte interno, segundo dois dos ex-funcionários, e às vezes a segurança do Twitter teve problemas para rastrear a má conduta devido ao grande volume.
Um sistema foi criado para criar logs de acesso, mas poderia ser enganado pela simples criação de tickets de suporte que faziam a espionagem parecer legítima; dois dos ex-funcionários disseram à Bloomberg que de 2017 a 2018 os membros da equipe de suporte interno “fizeram uma espécie de jogo” para burlar os esquemas de segurança. Os riscos de segurança inerentes à concessão de acesso a tantas pessoas foram alegadamente trazidos à diretoria da empresa repetidamente de 2015 a 2019, mas pouco mudou.
Isto teve consequências além da invasão mais recente. No ano passado, o Departamento de Justiça dos EUA (DOJ) anunciou acusações contra dois ex-empregados (um norte-americano e um cidadão saudita) de espionagem em nome de um indivíduo próximo ao príncipe herdeiro da Coroa Saudita, Mohammed bin Salman. O DOJ alegou que a intenção da operação era obter acesso a informações privadas sobre dissidentes políticos.
Um porta-voz do Twitter disse à Bloomberg que a empresa “[fica] à frente das ameaças à medida que elas evoluem” e qualquer pessoa com acesso ao backend passa por “treinamento extensivo de segurança e supervisão gerencial”. O porta-voz acrescentou: “Não temos nenhuma indicação de que os parceiros com quem trabalhamos no atendimento ao cliente e na gestão de contas tenham desempenhado um papel nisso.”