Twitter divulgou um vazamento de informações de cobrança após incidente de segurança de dados

O Twitter divulgou um vazamento de informações de cobrança após incidente de segurança de dados>. Confira os detalhes dessa ocorrência e entenda.

O Twitter divulgou um ‘Incidente de segurança de dados’ que causou o armazenamento das informações de cobrança dos anunciantes do Twitter no cache do navegador. Esse bug teria permitido que outros usuários no computador vissem esses dados.

Em fevereiro, o Twitter divulgou que uma de suas APIs poderia ter sido abusada por atores de ‘nação’ para comparar nomes de usuários de contas do Twitter com números de telefone.

Agora, esse incidente de segurança colocou a empresa sob os holofotes novamente.

Twitter divulgou um vazamento de informações de cobrança após incidente de segurança de dados

Twitter divulgou um vazamento de informações de cobrança após incidente de segurança de dados
Twitter divulgou um vazamento de informações de cobrança após incidente de segurança de dados

Sim. O Twitter começou a enviar e-mails a clientes comerciais que utilizam o Twitter Ads and Analytics Manager sobre um ‘Incidente de segurança de dados’ que armazenava incorretamente as informações de cobrança de um anunciante do Twitter no cache do navegador.

As informações que estão sendo armazenadas incorretamente no cache do navegador por esse bug incluem endereços de email, números de telefone, últimos quatro dígitos de cartões de crédito e endereço de cobrança.

O email do incidente de segurança de dados diz o seguinte:

“Ficamos cientes de um problema que significava que, antes de 20 de maio de 2020, se você visualizava suas informações de cobrança em ads.twitter.com ou analytics.twitter.com, as informações de cobrança poderiam ter sido armazenadas no cache do navegador. Exemplos disso as informações incluem endereço de e-mail, número de telefone, últimos quatro dígitos do número do seu cartão de crédito (números não completos, datas de validade ou códigos de segurança) e endereço de cobrança.Se você usou um computador compartilhado, é possível que se alguém o usasse depois de você , eles poderiam ter visto as informações armazenadas no cache do navegador (a maioria dos navegadores geralmente armazena dados em seu cache por padrão por um curto período de tempo, como 30 dias).”

A notificação por email avisou ainda os usuários que podem ter usado um computador compartilhado como navegadores da Web normalmente empregam períodos de cache de um mês.

“Se você usou um computador compartilhado, é possível que, se alguém usou o computador depois de você, eles pudessem ter visto as informações armazenadas no cache do navegador (a maioria dos navegadores geralmente armazena dados no cache por padrão por um curto período de tempo, como 30 dias ).”

Enquanto o bug foi corrigido em 20 de maio de 2020, a notificação de incidente de dados chegou agora, mais de um mês depois, mantendo os usuários no escuro por quanto tempo suas informações foram expostas por esse problema de cache.

Como correção, a empresa revisou seu código para impedir que os navegadores da Web armazenassem em cache informações confidenciais (capturas de tela abaixo).

“Em 20 de maio de 2020, atualizamos as instruções que o Twitter envia ao cache do navegador para impedir que isso aconteça.”

No momento, nada indica que as informações confidenciais foram comprometidas. No entanto, nenhuma indicação de compromisso nem sempre equivale a garantir nenhum compromisso.

A notificação por email sugere que, por precaução de segurança, os usuários limpem os caches dos navegadores da web:

“Embora não tenhamos provas de que suas informações de cobrança foram comprometidas, queremos garantir que você esteja ciente do problema e como se proteger daqui para frente. Se você usa um computador compartilhado para acessar suas informações de cobrança no Twitter Ads ou no Google Analytics, recomendamos limpar o cache do navegador ao sair. “

A empresa pediu desculpas pelo acidente ocorrido e tranquilizou os usuários sobre o compromisso da empresa de conquistar a confiança dos usuários.

“Lamentamos muito o fato de ter acontecido. Reconhecemos e apreciamos a confiança que você deposita em nós e estamos comprometidos em conquistá-la todos os dias. Se você tiver perguntas adicionais, pode escrever para o nosso Escritório de Proteção de Dados aqui“.

Observando as solicitações de rede que retornam campos JSON confidenciais (endereço de cobrança completo, informações da conta do Twitter, país de residência fiscal etc.), parece que a correção foi realmente aplicada.

As respostas agora são enviadas com cabeçalhos “cache-control:no-store“, instruindo os navegadores da Web a não armazenar essas informações em cache.

Por exemplo, abaixo estão os campos JSON retornados pelo terminal da API `tax_settings`. Como você pode ver, ele contém algumas informações sobre o cliente comercial.
Twitter divulgou um vazamento de informações de cobrança após incidente de segurança de dados
Agora este ponto de extremidade está usando o cabeçalho ‘cache-control: no-store’ para impedir que essas informações sejam armazenadas em cache.
Twitter divulgou um vazamento de informações de cobrança após incidente de segurança de dados
No geral, os riscos desses dados serem vistos por agentes mal-intencionados eram razoavelmente baixos, pois exigiria acesso ao computador para visualizá-los, e os cartões de crédito completos não foram expostos.

O maior risco teria sido se os desenvolvedores de malware soubessem desse bug e o usassem para roubar as informações do cache.

Não há indicação de que esse bug tenha sido abusado.

O que está sendo falado no blog

Post Views: 219

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.