O Twitter divulgou na segunda-feira (17) um comunicado alertando sobre um vazamento de dados por meio do formulário de suporte da rede social. A falha expôs os códigos de área dos telefones dos usuários e se uma determinada conta estava ativa ou não. Segundo o Twitter, a suspeita é a de que hackers patrocinados por China e Arábia Saudita estejam por trás do ataque.

A rede social minimizou o vazamento, dizendo que não houve exposição de números completos de telefone ou qualquer outra informação pessoal; que as pessoas afetadas já foram notificadas; e que a empresa começou a trabalhar para resolver a falha em 15 de novembro, tendo concluído os trabalhos no dia seguinte.

Mas o comunicado chama a atenção para a origem do ataque, que se aproveitou de uma falha no formulário de suporte. “Especificamente, notamos um grande número de consultas vindo de endereços IP individuais localizados na China e na Arábia Saudita. Embora não possamos confirmar com precisão a intenção, é possível que alguns desses IPs tenham vínculos com atores patrocinados por governos”, diz a rede social.

Basicamente, qualquer pessoa podia ter acesso ao código de área de um usuário por meio do “Esqueci minha senha”. Bastava clicar no link para resetar a senha e informar que você não tinha mais acesso ao e-mail cadastrado no Twitter. Então, o formulário de suporte era carregado com um campo para preencher o número de telefone, sendo que o código de área correto já era selecionado automaticamente.

Nesta terça-feira (18), o pesquisador de segurança Peerzada Fawaz Ahmad Qureshi relatou ao TechCrunch que descobriu o bug há dois anos e chegou a reportá-lo para o Twitter, mas nada foi feito para consertá-lo. Na época, a empresa julgou que o código de área de um usuário não era uma informação sensível.

No entanto, ele diz que o código de área já é suficiente para identificar onde o dono de uma conta mora — o que pode ser perigoso em lugares onde a liberdade de expressão é restrita. Inclusive, os dois países que levantaram suspeitas do Twitter têm sérios problemas com esse tema.

O Twitter não divulgou quantos usuários foram afetados, e diz que nenhuma ação precisa ser tomada.