Twitter notifica clientes corporativos sobre risco de vazamento de dados pessoais

Rede social deixou de enviar instruções para navegador 'esquecer' páginas contendo endereço de e-mail, telefone e quatro dígitos do cartão de crédito. Twitter [...]

Twitter notifica clientes corporativos sobre risco de vazamento de dados pessoais
Rede social deixou de enviar instruções para navegador 'esquecer' páginas contendo endereço de e-mail, telefone e quatro dígitos do cartão de crédito. Twitter pediu 'desculpas' por não ter marcado páginas que exibiam dados sensíveis para remoção do cache do navegador.

Thomas White/Reuters

O Twitter enviou um e-mail para clientes corporativos informando que uma página que exibe informações de pagamento na rede social não instruía o navegador a apagar imediatamente os dados, o que significa que as informações podem ter ficado armazenadas no computador.

Embora a página trouxesse informações como endereço de e-mail, número de telefone e os últimos quatro dígitos do cartão de crédito, não é possível saber se alguma informação foi realmente exposta ou vazada.

O alerta do Twitter trata apenas de uma negligência específica da rede social e não menciona se qualquer ataque ou roubo de dados realmente ocorreu.

O risco é maior para quem acessou a página a partir de dispositivos compartilhados (computadores públicos, por exemplo), já que outras pessoas podem verificar o "cache" do navegador onde as páginas ficam armazenadas.

O caso foi divulgado pelo site Bleeping Computer e pela rede BBC. Segundo as informações presentes no alerta reproduzido pelo Bleeping Computer, as páginas em questão eram específicas para clientes que usam os serviços de publicidade do Twitter. Quem não usa esses serviços não têm acesso a essas páginas e, portanto, não pode ter sido afetado de nenhuma forma.

Na notificação, o Twitter também revela que soube do problema no dia 20 de maio.

Entenda o problema

As páginas, imagens e demais recursos acessados por um navegador são armazenados temporariamente no computador ou celular. Durante o envio desses elementos, o site também diz ao navegador quanto tempo cada um deles deve ficar retido.

O site pode estimular o navegador a guardar por mais tempo informações que provavelmente não vão mudar (como imagens e elementos que compõem uma página). Caso o usuário volte para a página novamente ou visite outras páginas no mesmo site, o acesso tende a ser mais rápido, já que não será preciso baixar novamente esses elementos.

Da mesma forma, o site pode orientar o navegador a apagar imediatamente (ou "esquecer") as páginas que contêm informações sensíveis.

O alerta do Twitter informa que essa orientação não foi passada ao navegador nas páginas em questão, aumentando a chance de que os dados ali presentes fossem expostos a outras pessoas que usam o mesmo computador.

Navegadores permitem remover dados de navegação, garatindo a exclusão de páginas que não solicitaram sua remoção imediata. Em vários navegadores, incluindo Chrome, Firefox e Edge, essa tela pode ser acessada com a combinação Ctrl+Shift+Del.

Reprodução

Alerta incomum

O alerta do Twitter não trata de uma brecha ou vazamento de informação direta, que ocorre quando invasores acessam um banco de dados. O Twitter apenas deixou de tomar uma atitude que aumenta a segurança dos usuários em alguns casos, mas o efeito prático da medida pode ser quase nulo em outros.

Esse tipo de alerta é incomum e sites não costumam abordar essas questões.

O Twitter, no entanto, alegou que quer "manter os usuários cientes do problema para que se protejam daqui para frente".

Para quem usa computadores compartilhados, a rede social recomenda a limpeza manual dos dados ao fim da sessão. Isso pode ser realizado pelo próprio usuário no navegador, normalmente com a combinação Ctrl+Shift+Del.

Este já é o segundo alerta do Twitter relacionado ao mesmo problema. O primeiro, em abril, foi publicado no site da rede social e apontou que informações pessoais, inclusive as "DMs", podem ter ficado armazenadas no cache do navegador Firefox.

Por que o botão 'sair' fica escondido em alguns aplicativos? Ele é necessário?

Tanto no caso anterior como agora, quem não acessou a página a partir de computadores ou sistemas compartilhados dificilmente corre algum risco. No entanto, qualquer dispositivo de armazenamento, especialmente se não estiver criptografado, pode conservar vestígios de tudo que já foi salvo.

Até arquivos apagados muitas vezes deixam rastros, sendo necessária a adoção de medidas específicas para garantir a eliminação completa dos dados caso o equipamento seja vendido ou descartado.

Computadores públicos podem ter programas de espionagem ou outras configurações que invalidam qualquer tentativa de proteger os dados dos usuários por parte dos sites visitados. Por essa razão, o uso de computadores públicos para tarefas sensíveis deve ser totalmente evitado.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]