Levamos muito a sério nossa responsabilidade de proteger sua privacidade. Em resposta às denúncias recentes de os dados de usuários do Twitter estarem sendo vendidos online, conduzimos uma investigação completa e não há evidências de que os dados vendidos recentemente tenham sido obtidos pela exploração de uma vulnerabilidade dos sistemas do Twitter. Queremos também compartilhar uma atualização sobre um incidente ocorrido ainda este ano e apresentarmos com transparência as etapas que tomamos para remediá-lo.

O que aconteceu

Como havíamos previamente informado os usuários em agosto de 2022, em janeiro de 2022 recebemos uma denúncia pelo programa de denúncias de bugs sobre uma vulnerabilidade nos sistemas do Twitter. Como resultado da vulnerabilidade, se alguém digitasse um endereço de e-mail ou número de celular nos sistemas do Twitter, estes informariam à pessoa a qual conta do Twitter tal e-mail ou celular estava associado. Esse bug foi resultado de uma atualização no nosso código feita em junho de 2021. Quando tomamos conhecimento do problema, investigamos na mesma hora e o corrigimos. 

Em julho de 2022, ficamos sabendo, por um informe jornalístico, que uma pessoa poderia ter tirado proveito da falha e estaria vendendo as informações que havia compilado. Depois de analisarmos uma amostra dos dados disponíveis à venda, confirmamos que um indivíduo sem escrúpulos havia mesmo se aproveitado do problema antes que fosse resolvido. À época, notificamos prontamente os usuários afetados e as autoridades pertinentes.

Em novembro de 2022, alguns informe jornalísticos publicaram que os dados de usuários do Twitter haviam supostamente vazados na Internet. Assim que tomamos conhecimento das notícias, a Equipe de Resposta a Incidentes do Twitter comparou os dados do informe com os dados que saíram na mídia em 21 de julho de 2022. A comparação determinou que os dados expostos eram os mesmos nos dois casos. 

Em dezembro de 2022, outros informes de imprensa publicaram que uma pessoa alegou que tinha acesso a mais de 400 milhões de e-mails e telefones de usuários associados ao Twitter, e que os dados haviam sido expostos pela mesma vulnerabilidade descoberta em janeiro de 2022. Recentemente, em janeiro de 2023, uma tentativa semelhante de vender os dados de 200 milhões de contas associadas ao Twitter foi relatada na mídia.  

Depois de uma abrangente investigação, as equipes de Resposta a Incidentes e Proteção à Privacidade e aos Dados concluíram que: 

• as 5,4 milhões de contas de usuários denunciadas em novembro eram as mesmas que as expostas em agosto 2022.
• 400 milhões de instâncias de dados de usuários na segunda suposta violação não puderam ser correlacionadas com o incidente previamente denunciado nem com nenhum novo incidente.
• o dataset de 200  milhões não pode ser correlacionado com o incidente previamente denunciado nem com nenhum dado originado de uma exploração dos sistemas do Twitter.
• Os dois datasets eram iguais, embora o segundo não contivesse entradas duplicadas.
• Nenhum dos datasets analisados continha senhas nem informações capazes de levar às senhas comprometidas.

Assim, com base nas informações e nos dados analisados para investigar a questão, não há evidências de que os dados vendidos online tenham sido obtidos pela exploração de uma vulnerabilidade dos sistemas do Twitter. Os dados provavelmente são uma série de dados já publicamente disponíveis online por diferentes fontes. 

Estamos em contato com as Autoridades de Proteção de Dados e outros reguladores relevantes de diferentes países para esclarecer os supostos incidentes, e continuaremos a fazê-lo. 

O Twitter continuará a monitorar denúncias sobre incidentes e fará atualizações de acordo.

Como proteger sua conta

Embora nenhuma senha tenha sido exposta, incentivamos todos que usam o Twitter a habilitar a autenticação em duas etapas, para tanto usando aplicativos de autenticação ou chaves físicas de segurança, para proteger a conta contra acesso não autorizado. Se você se preocupar com a segurança da sua conta ou tiver dúvidas sobre como protegemos suas informações pessoais, fale com o Departamento de Proteção de Dados, por este formulário.

Incentivamos também os usuários do Twitter a permanecerem extraordinariamente vigilantes ao receberem qualquer tipo de comunicação por e-mail, pois atores de ameaça podem aproveitar as informações vazadas para criar campanhas de phishing muito eficientes. Cuidado com e-mail que transmitam senso de urgência e solicitem suas informações privadas, sempre verificando duas vezes se eles vêm mesmo de uma fonte legítima do Twitter.

Para saber mais sobre como denunciar uma vulnerabilidade de segurança, acesse nossa Central de Ajuda. Para saber mais sobre nossas atividades para proteger o Twitter contra manipulação de plataforma e atividades respaldadas por governos, acesse o Relatório de Transparência do Twitter.