Anteontem, o Twitter sofreu a pior falha de segurança de sua história – um problema que permitiu que criminosos tivessem acesso a contas de celebridades, políticos e empresários. A empresa ainda tenta entender o que causou a invasão, mas é certo até aqui que nenhuma das vítimas poderia ter evitado o sequestro de suas contas. Com poucos recursos de defesa, o ataque coloca em xeque uma das principais forças da rede social nos últimos anos: ser um canal de comunicação direto e oficial de governos, chefes de Estado, empresários e grandes empresas.
Na noite da última quarta-feira, 15, após uma instabilidade que durou horas, a empresa afirmou que a porta de entrada para o ataque foram seus funcionários. “Detectamos o que acreditamos ser um ataque coordenado de engenharia social por pessoas que miraram com sucesso em alguns de nossos funcionários com acesso a sistemas internos e ferramentas”, declarou a rede social.
O site americano Vice foi além e afirma que hackers teriam subornado os funcionários da empresa para ter acesso aos sistemas internos que dá acesso a todas as contas do serviço. É uma função conhecida como “Modo Deus” (Gods Mode, em inglês). Um ataque feito dessa forma não pode ser evitado nem pelas práticas de segurança recomendadas aos usuários, como uso autenticação de dois fatores, senhas complexas e conexão apenas por redes privadas.
“O ataque ao Twitter expõe uma fragilidade que a segurança da informação vive às voltas para resolver: o componente humano”, diz Carlos Affonso Souza, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS-Rio). “Você pode ter o mais sofisticado sistema de segurança, mas ele jamais será completo se ele não levar em consideração o fator humano.”
Segundo especialistas, este não foi um ataque trivial. “É algo direcionado, que exige tempo, investimento e planejamento”, explica Alexandre Bonatti, diretor de engenharia da empresa de segurança Fortinet Brasil.
Bonatti explica que, nesses casos, os criminosos precisam inicialmente realizar uma pesquisa sobre quais funcionários têm os acessos ilimitados e quais desses teriam os perfis mais suscetíveis para serem enganados. Aqueles que, por exemplo, trabalham de perto com a área de segurança e tecnologia não estariam entre os alvos preferenciais. Assim, é improvável, portanto, que os criminosos teriam mirado todos os funcionários do Twitter e chegaram por acidente a quem tem as credenciais necessárias.
O sistema de amplo acesso permite que a empresa, por exemplo, recupere contas de usuários. Sem ele, seria impossível para a rede social reativar uma conta que teve seu e-mail de recuperação afetado ou que foi atacada de outra forma. “Por um lado, essa ferramenta de supervisão geral tem um impacto muito grande. Mas por outro, ela é útil para os usuários comuns. É preciso que ela tenha um processo de segurança mais avançado”, diz Jéferson Campos Nobre, professor da UFRGS.
Confiança
Ainda não está clara também a profundidade do ataque. Por enquanto, sabe-se que os criminosos puderam publicar mensagens na conta de pessoas como Jeff Bezos, Bill Gates e Elon Musk, alguns dos homens mais ricos do mundo, pedindo o depósito de bitcoins em uma carteira específica – até o momento, foi identificado que US$ 122 mil foram levantados pelos hackers.
Não se sabe, por outro lado, se os criminosos tiveram acesso às mensagens privadas dessas contas. É um recurso que não possui criptografia de ponta a ponta – o recurso presente no WhatsApp, por exemplo, garante a privacidade das comunicações entre destinatário e remetente, não sendo possível a um terceiro (como o funcionário de uma empresa) visualizá-lo.
É algo preocupante, uma vez que chefes de Estado como Donald Trump e Jair Bolsonaro usam o Twitter como um canal de comunicação oficial. “Explorar uma tamanha oportunidade para dar um golpe de bitcoin parece também ser algo menos danoso do que poderia ter sido”, afirma o diretor do ITS-Rio. “Não é difícil imaginar o dano que essas comunicações privadas poderiam causar se fossem reveladas.”
Outro problema de transformar o Twitter em canal oficial de comunicação é que o seu uso constante e tom pessoal pode induzir um grande grupo de pessoas a ser enganadas por mensagens falsas, como ocorreu no caso dos bitcoins. “Os atacantes poderiam ter colocado palavras na boca de presidentes, fazendo acusações, insultando ou mesmo provocando incidentes diplomáticos”, diz Souza. “É cedo para dizer que o pior já passou”.