Como a invasão gigante ao Twitter pode ter acontecido


Brian Fung, CNN Business
18 de julho de 2020 às 15:27
Imagem ilustrativa da invasão ao Twitter

Imagem ilustrativa da invasão ao Twitter

Foto: Dado Ruvic/Reuters (26.nov.2019)

Um grupo de ex-funcionários do Twitter (TWTR) que acompanhou, chocado, a invasão de hackers na quarta-feira (15) está tentando descobrir o que pode ter acontecido. O ataque atingiu as contas de algumas das pessoas mais importantes da rede social, incluindo Barack Obama, Joe Biden e Elon Musk. Enquanto conduzem sua investigação não oficial em um grupo fechado no aplicativo Slack, os ex-funcionários (incluindo antigos membros da equipe de segurança do Twitter) estão tentando reconstruir os eventos que antecederam os sequestros de conta com base no conhecimento dos protocolos internos e sistemas técnicos da rede social.

Eles não são os únicos que procuram respostas. O mesmo acontece com congressistas, especialistas em segurança cibernética e o próprio Twitter. O FBI também está envolvido: na quinta-feira (16), a agência afirmou que está investigando o incidente. Fontes policiais disseram à CNN que o FBI está revendo o que parecem ser capturas de tela do software de gerenciamento de contas interno do Twitter que circulam nas mídias sociais.

A análise dos ex-funcionários se concentra no mesmo software, uma ferramenta poderosa que oferece a um número significativo de funcionários autorizados do Twitter a capacidade de gerenciar contas com um número gigante de seguidores. A ferramenta pode, inclusive, exibir informações protegidas de usuários e até alterar endereços de email vinculados às contas, de acordo com entrevistas com vários ex-funcionários, todos conversando com a CNN sob a condição de anonimato. Os ex-funcionários concluíram que os hackers provavelmente usaram a ferramenta para acessar as contas e redefinir as senhas.

“Temos comparado muito nossas anotações e tentando puxar pela memória para entender como isso aconteceu”, disse uma das pessoas envolvidas nas discussões. “Isso incluiu alguns funcionários de segurança que tendem a ser mais criativos e pensar: ‘Bem, se eu fosse alguém mal-intencionado, como eu faria isso?’”

A análise deles pode ajudar a resolver algumas das muitas perguntas não respondidas que ainda permanecem dias após o ataque. O Twitter descreveu de forma bem ampla que havia ocorrido um ataque sofisticado e coordenado de “engenharia social” à sua equipe e que o hacker ou hackers havia(m) dado ordens para “assumir o controle” das contas. No pior cenário, esse tipo de invasão poderia ter levado a tuítes falsos que mexeriam com o mercado, trariam declarações falsas de guerra ou ataques nucleares e até mesmo desinformação que poderia mudar o rumo de uma eleição.

O Twitter se recusou a fazer comentários para esta reportagem.

Leia também:

Twitter diz que hackers usaram 8 contas não verificadas para obter dados

Twitter hackeado: como proteger os seus investimentos e dados na internet

Procurando pistas

Até agora, a empresa revelou algumas pistas importantes. Disse que hackers tinham como alvo funcionários com privilégios administrativos. Depois que vários deles tiveram suas contas comprometidas, os hackers acessaram os controles internos invadidos para enviar tuítes promovendo um golpe de Bitcoin em contas de propriedade de Bill Gates, Kanye West, Kim Kardashian West, Warren Buffett e outros. Na sexta-feira (17), o jornal The New York Times relatou, citando entrevistas com as pessoas envolvidas nos eventos, que a invasão foi provavelmente feita por jovens que tiveram acesso a essa ferramenta específica.

Mas isso ainda não explica como os hackers poderiam assumir o controle das contas. Uma pessoa próxima à campanha de Joe Biden, candidato à presidência pelo Partido Democrata, disse à CNN na quinta-feira (16) que o Twitter não revelou muito mais para as vítimas do ataque do que aquilo divulgou ao público.

Com base nas explicações preliminares do Twitter e nas capturas de tela que circulam nas redes, os ex-funcionários concluíram rapidamente que os hackers haviam acessado uma plataforma administrativa conhecida internamente como “ferramentas de agente” (“agent tools”) ou “Interface de Usuário dos Serviços do Twitter” (“Twitter Services UI”). De acordo com uma fonte familiarizada com a segurança do Twitter, essa ferramenta interna serve para funcionários lidarem com solicitações de suporte ao cliente e moderar o conteúdo.

Centenas de funcionários do Twitter têm acesso a ferramentas de agente, de acordo com uma das pessoas que fazem parte do grupo de discussões entre ex-funcionários. De acordo com esse informante, trata-se de uma plataforma poderosa que pode mostrar os números de celulares dos usuários do Twitter (se eles estiverem registrados na empresa), bem como a localização geográfica desses usuários e quaisquer endereços IP que foram usados para acessar a conta.

Ashkan Soltani, especialista em segurança e ex-tecnólogo-chefe da Federal Trade Commission, disse que não é incomum que companhias de tecnologia tenham ferramentas internas como essas. Segundo Soltani, embora os recursos e permissões possam diferir de empresa para empresa, a questão mais importante diz respeito ao escopo do acesso que esses funcionários comprometidos têm.

“A pergunta que fica é: 'Qual nível de conta [de funcionário] foi acessado?'” refletiu. “E, se for um funcionário de um nível inferior, o Twitter está fazendo alguma coisa para evitar que esse funcionário tenha acesso aos direitos de um superusuário?”

Um dos recursos mais sensíveis é a capacidade de alterar os endereços de email para os quais o Twitter envia instruções de redefinição de senha. Para os ex-funcionários, os invasores provavelmente usaram a ferramenta para alterar os endereços de email associados às contas direcionadas do Twitter e enviaram instruções de redefinição de senha para novos endereços de email sob o controle dos hackers. Dentro dessa hipótese, assim que os hackers conseguiram alterar as senhas dos usuários, eles puderam acessar as contas do Twitter como se fossem os legítimos donos.

O ataque poderia ter acontecido bem debaixo do nariz das pessoas cujas contas foram tomadas. Muitas empresas de mídia social criaram seus sistemas de login de usuário para serem isentas de atritos, o que significa que os consumidores raramente são desconectados de um aplicativo depois de alterar suas senhas.

“Então, se você é uma celebridade, alguém que usa esse método poderia ter alterado sua senha, mas você não seria necessariamente bloqueado e também não saberia”, explicou um ex-funcionário.

Em outras palavras, os usuários hackeados poderiam estar olhando suas contas do Twitter como se nada tivesse mudado.

Em princípio, técnicas de segurança, como a autenticação ou verificação em duas etapas, destinam-se a impedir logins não autorizados. Uma conta protegida por esse tipo de autenticação solicita que os usuários forneçam não apenas um nome de usuário e senha corretos, mas também um código de verificação enviado para um dispositivo separado que um usuário legítimo controla.

Nesse caso, qualquer autenticação em duas etapas nas contas das vítimas poderia ter sido ignorada, disseram os ex-funcionários. Uma das fontes contou que uma das capacidades das “ferramentas de agente” é o poder de desativar a autenticação de duas etapas. (De acordo com Soltani, esse tipo de recurso, juntamente com o poder de alterar os endereços de e-mail dos usuários, é frequentemente usado pelas empresas para ajudar os clientes a recuperar suas contas se perderem o acesso a seus celulares ou e-mail.)

Se a teoria dos ex-funcionários estiver correta, tudo o que os hackers precisariam para assumir essas contas importantes era desativar a autenticação em duas etapas (se estivesse ativada), alterar o endereço de destino no pedido para redefinições de senha e alterar em seguida as senhas das vítimas, fazendo login com as novas credenciais.

Há certas coisas que as ferramentas do agente não permitem, de acordo com uma das fontes: a plataforma não concede diretamente acesso ao conteúdo das mensagens diretas dos usuários, por exemplo. Mas, ao fazer login em uma conta como legítimo proprietário, um hacker ainda poderá acessar essas mensagens. O Twitter disse que não há evidências de que as senhas foram roubadas, mas que ainda está investigando se “dados não públicos” podem ter sido comprometidos.

A fonte próxima à campanha de Biden disse que, no caso da conta do candidato democrata, não há mensagens comprometedoras a ser encontradas. “Eu vi as DMs (direct messages) ali, e não há nada de especial”, disse. “É tudo apenas divulgação para os eleitores."

Método ainda é desconhecido

A natureza do ataque está ficando cada vez mais clara, mas segue o mistério de como os hackers obtiveram acesso às ferramentas de agente.

O Twitter culpou o incidente de segurança de “engenharia social coordenada”, um termo que Michael Coates, ex-diretor de segurança da informação do Twitter, disse que poderia abranger uma série de ameaças.

“Pode haver várias técnicas sendo usadas, de e-mails de phishing a algum tipo de suborno”, ele disse na quinta-feira (16) ao programa Quest Means Business, da CNN.

A empresa enfrentou um escândalo de suborno no ano passado, quando promotores federais acusaram dois ex-funcionários do Twitter de espionagem para a Arábia Saudita. Na época, o Twitter afirmou que “restringe o acesso a informações confidenciais da conta a um grupo limitado de funcionários treinados e verificados”.

O acesso às ferramentas de agente é limitado por várias salvaguardas, disseram os ex-funcionários.

“Posso confirmar que existem muitas camadas de controle”, disse Coates, falando amplamente dos sistemas internos do Twitter. “Há análises, registros, análises de ciência de dados, privilégios mínimos, tudo que você espera encontrar nesses sistemas”.

Pelo menos duas outras camadas de proteção estão envolvidas, de acordo com os ex-funcionários. Em circunstâncias normais, as ferramentas de agente só podem ser acessadas quando os funcionários estiverem conectados à intranet da empresa – o que significa que eles devem estar fisicamente no escritório ou conectados à rede via VPN. E, para fazer login nas próprias ferramentas de agente, os funcionários devem fornecer seu próprio nome de usuário e senha corporativos.

Para vários ex-funcionários, não ficou claro se a pandemia pode ter levado a políticas de trabalho remotas que poderiam facilitar o login nas ferramentas de agente. Embora reconheçam essa possibilidade, eles afirmaram não haver evidências de que o Twitter tenha relaxado sua segurança para facilitar o trabalho em casa. O Twitter se recusou a comentar sobre suas políticas de trabalho remoto.

Mesmo nas ferramentas de agente, as funções dos funcionários na empresa podem limitar as contas de usuários que eles podem acessar, disse um dos ex-funcionários. Por exemplo, uma pessoa cujo trabalho é lidar com solicitações de suporte de jornalistas pode acessar contas de jornalistas, mas talvez não outras. Essas limitações podem ajudar a explicar por que os hackers atacaram uma ampla gama de funcionários atuais do Twitter.

Devido aos registros de atividades que o Twitter mantém de seus funcionários, rastrear quais contas de funcionários acessaram as contas de VIPs seria uma tarefa trivial. Um desafio mais difícil (que provavelmente exigiria a ajuda da polícia) seria determinar se os próprios funcionários estavam envolvidos conscientemente ou se eram simplesmente usados como cúmplices involuntários pelos hackers externos.

Os investigadores também não descartaram a possibilidade de envolvimento de uma alguma nação no ataque, embora no momento não pareça haver evidência disso, segundo uma pessoa familiarizada com o assunto.

Alex Marquardt, Evan Perez e Donie O'Sullivan contribuíram para esta reportagem.

(Texto traduzido, clique aqui para ler o original em inglês)