Hack do Twitter: o que deu errado e por que isso é importante

Potencialmente, milhares de pessoas perderam dinheiro depois que contas sequestradas de usuários verificados com milhões de seguidores prometeram dobrar o dinheiro daqueles que lhes enviassem Bitcoins. Usando os sistemas internos do Twitter, as mensagens dos cibercriminosos atingiram pelo menos 350 milhões de pessoas.

E parece que eles ganharam cerca de US$ 110 mil (R$ 586 mil) no período em que o golpe ficou ativo.

Enorme engajamento
Foi um ataque sem precedentes à privacidade, confiança e segurança. Mas especialistas dizem que os hackers poderiam ter causado muito mais danos.

Como disse o chefe de um serviço de mensagens menor: "Graças a Deus pela ganância". O Twitter tem um enorme engajamento nos EUA, Japão, Rússia e Reino Unido.

Perguntas válidas
O Twitter é a principal plataforma de algumas das pessoas mais poderosas e proeminentes do mundo. Seus cargos têm o poder de mexer com os mercados financeiros e causar incidentes diplomáticos.

Com a eleição presidencial dos Estados Unidos em menos de quatro meses, agora há perguntas importantes a serem feitas sobre se o Twitter pode ser utilizado como ferramenta política. A conta do presidente Donald Trump não foi invadida pelo hacker.

'Ferramentas favoritas'
Muitos estavam olhando para ver se ela cairia depois que a conta de seu rival democrata Joe Biden publicou a mensagem do golpe.

"Nós já sabemos que a Rússia está planejando se intrometer nas eleições de 2020, assim como fez nas eleições de 2016", disse Heather Williams, do King's College London.

"Manipulação de redes sociais é uma das suas ferramentas favoritas. Portanto, esse truque mostra o quão vulneráveis ​​são as plataformas e como os americanos são vulneráveis ​​à desinformação."

"Se algo maior estivesse em jogo, como a Presidência, isso poderia ter consequências realmente desastrosas e prejudicar nossos processos democráticos."

'Pior da história'

As implicações de segurança dessa invasão também são abrangentes, não apenas para o Twitter, mas para todas as redes sociais. Os indícios iniciais são de que os hackers conseguiram acessar os privilégios de administradores, o que lhes permitiu agir sem precisar das senhas de qualquer conta.

O Twitter pareceu confirmar isso em um tuíte: "Detectamos o que acreditamos ser um ataque coordenado de engenharia social por pessoas que atingiram com êxito alguns de nossos funcionários com acesso a sistemas e ferramentas internos".

"Engenharia social" pode significar diversas coisas.

Parte do esquema
Essa pode ter sido uma operação de phishing direcionada — uma tática comum empregada por criminosos cibernéticos, que descobre quais indivíduos têm as chaves do sistema em que desejam entrar e direciona emails a eles que os induzem a revelar detalhes.

Ou pode significar que os autores conseguiram convencer um ou vários membros da equipe a participarem do esquema, oferecendo dinheiro ou outras vantagens. A empresa de tecnologia enfrentará uma enorme pressão para dar mais detalhes sobre o caso.

"A reputação do Twitter é o custo desse ataque cibernético", disse William Dixon, líder cibernético do Fórum Econômico Mundial.

"Esta é uma grande violação de segurança para o Twitter. A pior de sua história." "É necessário mais resiliência cibernética em todo o ecossistema para proteger os usuários de redes sociais em todo o mundo."

'Informação sigilosa'
O Twitter não está respondendo diretamente às perguntas de jornalistas sobre o caso, mas disse que tomou "medidas significativas para limitar o acesso aos sistemas internos" enquanto investiga.

A empresa também disse que estava "investigando quais outras atividades maliciosas (os hackers) podem ter conduzido ou informações que possam ter acessado".

O executivo-chefe do serviço de mensagens Element levantou a possibilidade de dados confidenciais também terem sido expostos.

"É muito provável que as mensagens diretas privadas ficaram acessíveis por um curto período de tempo", disse Matthew Hodgson. "Da próxima vez, a coleta de informações confidenciais pode alimentar uma onda de extorsão ou algo muito pior."

A ideia de que o Twitter tem a capacidade de utilizar as contas das pessoas, independentemente da segurança que elas tenham, pode ser chocante. Mas especialistas dizem que isso é algo necessário em qualquer serviço baseado em comunidades.

Facebook, Snapchat, Instagram e YouTube foram procurados para comentar sobre suas medidas de segurança. Nenhum respondeu.

'Contas de alto risco'
Mas o ex-diretor de segurança do Facebook, Alex Stamos, disse à BBC News que todas as empresas voltadas para o consumidor precisam de uma maneira de ajudar a recuperar contas invadidas ou bloqueadas.

"A mudança que pode ser feita é que o Twitter pode restringir essa capacidade de contas de alto risco a um número muito menor de usuários ou criar ferramentas que exijam que uma pessoa inicie e outra aprove a mudança", disse ele.

"Isso é, aparentemente, o que eles já fizeram para a conta do presidente Trump, após um incidente em 2017." "Eles precisarão expandir amplamente essas proteções."

Sem controle
Além de uma potencial perda de confiança, o Twitter agora também pode enfrentar consequências legais.

O Regulamento Geral de Proteção de Dados da UE (GDPR, por sua sigla em inglês) diz que organizações como o Twitter precisam ter níveis "apropriados" de segurança. E se os juízes entenderem que o Twitter não tomou as medidas adequadas para proteger os dados dos usuários europeus, ele pode ser multado.

No início de 2020, o diretor executivo da empresa, Jack Dorsey, perdeu o controle de sua conta por 20 minutos.

E em 2010, o Twitter teve de se explicar à Federal Trade Commission americana depois que hackers conseguiram controlar, inclusive com a capacidade de enviar tweets falsos, as contas do então presidente Barack Obama e da rede Fox News.