No que parece ser um descuido da equipe de segurança do Twitter, a rede social pode estar vazando informações sobre sua família ou amigos para estranhos que tentam se passar por você.
Se você se inscrever em uma conta do Twitter usando o endereço de e-mail de alguém que nunca se inscreveu no Twitter, você não irá muito longe, é claro. O proprietário do endereço de e-mail terá que confirmar a criação da conta através de um link de e-mail enviado para sua caixa de entrada.
Mas e se o objetivo não for a representação, mas o reconhecimento? Se for o último, você pode aprender muito sobre a família e os amigos de uma conta sem precisar confirmar a criação de uma nova conta, de acordo com um post no blog thecomputerperson , e verificado pela Motherboard.
Para ilustrar o que está acontecendo aqui, criei uma nova conta no Twitter com meu e-mail do MediaMente, que nunca foi vinculado a uma conta do Twitter. O Twitter imediatamente sugeriu que eu seguisse as contas de escritores com os quais enviei e-mails anteriormente – quatro de cinco foram as principais sugestões – e não precisei confirmar meu e-mail para visualizar essas informações.
Olá amigos! Imagem: captura de tela
Também tentei me inscrever em novas contas usando os e-mails de quatro colegas adicionais. Dois mostraram contatos conhecidos nos primeiros resultados, enquanto os outros dois não.
De acordo com a própria página de suporte do Twitter, 'Se alguém carregou seus contatos no Twitter e seu endereço de e-mail ou número de telefone está incluído em seus contatos, podemos sugerir que você os siga'.
Na prática, isso significa que um agressor ou assediador pode tentar se inscrever em uma conta do Twitter usando um endereço de e-mail que pertence a um alvo, mas não foi registrado no Twitter – talvez uma conta alternativa ou uma conta de trabalho no meu caso . Usando o Twitter recurso de usuário sugerido , um invasor pode obter as identidades de alguns amigos, familiares e outros contatos próximos que se registraram no Twitter e também permitir que o Twitter acesse seus contatos (que, presumivelmente, contêm o e-mail do alvo). Essas pessoas podem ser alvo de mais abuso, engenharia social ou assédio.
Existem, é claro, muitas sugestões que não têm relação com o endereço de e-mail usado – contas populares ou contas escolhidas com base no local em que você tenta se inscrever, por exemplo – e não está claro como essas sugestões são ordenadas. Mas no meu caso, pelo menos, separar amigos e familiares reais de sugestões mais gerais não daria muito trabalho.
Idealmente, o Twitter deve impedir que novas contas vejam usuários sugeridos até que o e-mail usado para registrar a conta seja confirmado. Mas até lá, o melhor a fazer, se ainda não o fez, é desative a configuração de privacidade que permite que outros usuários encontrem você pelo e-mail ou número de telefone associado à sua conta. Isso impedirá qualquer pessoa - um usuário registrado ou não - de encontrar sua conta, além de conhecer seu identificador.
A Motherboard entrou em contato com o Twitter para comentar e atualizará esta postagem quando a empresa responder.