Uma nova reportagem da Reuters traz um pouco mais de contexto à invasão de contas do Twitter de políticos, celebridades e empresas que aconteceu no último dia 15. Segundo dois ex-funcionários da rede social, mais de mil pessoas tinham acesso ao painel interno que foi invadido e usado para tomar o controle das contas.

A agência de notícias falou com dois ex-funcionários do Twitter que têm familiaridade com as práticas de segurança da rede social. Segundo eles, essas ferramentas internas têm o poder de mudar configurações de contas, bem como dar o controle delas a terceiros.

Os dois também afirmam que, no começo de 2020, mais de mil pessoas dentro do Twitter tinham acesso a esse painel, entre funcionários da própria rede social e terceirizados de empresas como a Cognizant. Procurado pela Reuters, o Twitter não confirmou a informação.

Na quarta-feira da semana passada (15), contas de figuras mundialmente famosas foram invadidas. Entre as vítimas, estavam o candidato democrata à presidência dos EUA, Joe Biden; o bilionário e co-fundador da Microsoft Bill Gates; o CEO da Tesla, Elon Musk; e o rapper Kanye West.

As contas foram usadas para divulgar uma campanha falsa de distribuição de bitcoins, que prometia devolver em dobro tudo que fosse transferido para uma única carteira de criptomoedas — tudo mentira, obviamente. Estima-se que o golpe movimentou US$ 200 mil.

O Twitter e o FBI estão investigando como a invasão foi possível. Até agora, a rede social se limitou a dizer que um golpe de engenharia social foi bem-sucedido ao atacar funcionários da empresa e conseguir obter acesso a ferramentas internas da companhia. Além da campanha fraudulenta, isso também permitiu que os golpistas baixassem todos os dados de oito contas não verificadas e acessassem as mensagens diretas de até 36 contas.

A Reuters também conversou com pesquisadores em segurança digital que acreditam que o ataque teve ligação com um grupo de cibercriminosos interessado no comércio de nomes de usuário curtíssimos, de um ou dois caracteres. Para algumas pessoas, esses usernames seriam como “placas personalizadas” da rede social.

Especialistas em cibersegurança ouvidos pela Reuters comentam que é muito arriscado dar acesso a ferramentas desse tipo a tantas pessoas. Um deles diz que as responsabilidades deveriam ser divididas entre as equipes, e mudanças sensíveis só deveriam ser autorizadas com envolvimento de mais de uma pessoa.

Não é a primeira vez que o Twitter sofre com problemas internos de segurança. Ex-funcionários da rede social foram acusados de espionagem para o governo da Arábia Saudita no ano passado. Já em 2017, outro empregado decidiu meter o louco no último dia de trabalho antes de sair da empresa e simplesmente apagou a conta do presidente dos EUA, Donald Trump. A conta foi reestabelecida 11 minutos depois, livrando a rede social de uma dor de cabeça daquelas.