Posts Recentes:

Mulheres na IA: Rashida Richardson, conselheira sênior da Mastercard com foco em IA e privacidade

Para dar às mulheres acadêmicas e outras pessoas...

OnePlus fez uma ‘pausa reflexiva’ de três anos antes de aumentar a bateria do seu smartwatch

Estamos em 2024. Todos os smartwatches devem oferecer...

PPC Facilitado: 4 Estratégias para Economizar Tempo com Ferramentas Gratuitas

Esta postagem foi patrocinada por Redesign.co. As opiniões expressas...

Spoutible, rival do Twitter, alega campanha difamatória em meio a polêmica sobre violação de segurança


Um usuário na alternativa Twitter/X Spoutible afirma que a empresa excluiu suas postagens depois de pressionar o CEO do Spoutible, Christopher Bouzy, a ser mais honesto sobre a natureza de seu recente problema de segurança. As alegações, que a empresa nega, são a mais recente reviravolta bizarra na saga de incidentes de segurança que ocorreu na semana passada na startup.

Na semana passada, Bouzy reconheceu uma vulnerabilidade de segurança que ele disse ter exposto e-mails e números de telefone de usuários em sua startup, posicionada como um Twitter mais inclusivo e gentil. No entanto, o pesquisador de segurança Troy Hunt, criador do Fui sacaneado O site, que permite que as pessoas verifiquem se seus dados foram comprometidos em uma violação de dados, descobriu que a API do desenvolvedor do Spoutible também estava expondo informações que malfeitores poderiam ter usado para assumir o controle das contas dos usuários sem que eles soubessem.

Caçar detalhou suas descobertas sobre essa acusação muito mais séria em seu siteobservando que a API Spoutible retornou dados incluindo o hash bcrypt da senha de qualquer outro usuário, além de segredos 2FA (dois fatores) e o token que poderia ser reutilizado para redefinir a senha de um usuário.

Resumindo, esta vulnerabilidade era altamente explorável e poderia ter permitido que um malfeitor assumisse o controle da conta de um usuário sem que ele soubesse, como The Verge relatou na época. Hunt foi alertado sobre esse problema por um terceiro que alegou ter extraído dados do serviço do Spoutible. Como a conta de I Been Pwned confirmado em XSpoutible teve 207.000 registros de usuários extraídos de sua API mal configurada, incluindo “nome, e-mail, nome de usuário, telefone, sexo, hash de senha bcrypt, segredo 2FA e token de redefinição de senha”.

Desde junho passado, Spoutible tinha 240.000 usuários registradosentão a violação impactou uma boa parte da base de usuários da rede social menor.

O pesquisador de segurança explicou que a vulnerabilidade poderia ter sido explorada por malfeitores, que teriam conseguido obter uma versão com hash das senhas dos usuários. Embora as senhas fossem protegidas via bcrypt, senhas mais curtas poderiam ter sido mais fáceis de adivinhar e decifrar. Além disso, nenhuma notificação por e-mail seria enviada ao titular da conta sobre a alteração da senha, de modo que ele nunca saberia se sua conta não estava mais sob seu controle, observou Hunt.

Esse tipo de coisa teria sido um problema para qualquer startup, mas especialmente para aquela em que a base de usuários está cheia de pioneiros que podem simplesmente ter experimentado o Spoutible por um tempo antes de passar para outra alternativa do Twitter, deixando contas semi-abandonadas prontas para uso. a tomada.

O CEO do Spoutible, Christopher Bouzy, confirmou a violação e vulnerabilidade de dados e a empresa exigiu que os usuários criassem senhas novas e mais fortes, depois abordando o assunto. No entanto, ele também se referiu à descoberta da vulnerabilidade como “um ataque” à sua rede e alegou que a pessoa que copiou os dados era alguém que tinha a intenção de prejudicar a reputação do Spoutible.

“Estamos… confiantes de que a pessoa envolvida é o líder que ataca Spoutible há um ano,” Bouzy disse em uma postagemreferindo-se ao notificador que enviou a Hunt os registros copiados.

Em um e-mail para o TechCrunch, Bouzy expôs mais detalhadamente suas ideias, alegando que o grupo online conhecido como “Duvidoso”, que surgiu no início do ano passado, estava por trás do ataque. Duvidoso administra uma conta no Twitter/X onde eles “twittaram falsidades sobre Spoutible, eu e membros proeminentes de nossa comunidade diariamente”, disse Bouzy. “Acreditamos firmemente que este grupo está por trás da coleta não autorizada de nossos dados” – uma acusação social/post/3kl6sj3ho7f2a" rel="noopener">Bouzy repetiu em uma resposta a uma análise na Trustpilot, onde também sugeriu que estava alertando o FBI sobre o assunto.

“Alguém não precisa coletar mais de 207 mil registros para revelar uma vulnerabilidade”, continuou Bouzy. “No entanto, ao incluir também dados, torna-os significativamente mais interessantes. Caso alguém pretenda expor uma vulnerabilidade para manchar a reputação de uma empresa, o Sr. Hunt seria de fato o contato ideal. A razão por trás de sua escolha é clara: os tweets, a postagem no blog e o vídeo de acompanhamento do Sr. Hunt se alinham perfeitamente com suas intenções. A maneira como o Sr. Hunt sensacionalizou e retratou o incidente é exatamente o que eles esperavam”, acrescentou, de forma conspiratória.

Bouzy afirma que a vulnerabilidade de segurança surgiu porque alguém de sua equipe usou uma função destinada à API de configurações do usuário com uma função projetada para a API pública, razão pela qual e-mails e números de telefone criptografados foram expostos em texto simples. Ele disse que o Spoutible agora fez parceria com uma empresa de segurança para revisar ainda mais seus sistemas, à luz deste incidente.

Ainda assim, várias pessoas acusaram Bouzy de tentar minimizar a gravidade da vulnerabilidade, incluindo social/post/3kkovmi7trs2z" rel="noopener">jornalista de dados Dan Nguyenque recentemente compartilhou de novo o empreendedor de tecnologia Postagem de Anil Dash no Bluesky alertando os usuários para “saírem do bico”. Outro usuário do Bluesky referiu-se de forma colorida ao despejo de dados do usuário pelo Spoutible como algo semelhante à “Vingança de Montezuma”.

Embora uma violação de dados já seja uma má reputação para uma startup, agora há dúvidas se a empresa está ou não silenciando seus críticos.

Um usuário do Spoutible, Mike Natale, publicou publicamente social/post/3kktcgrdryz26" rel="noopener">acusou o CEO de deletar suas postagens no site de rede social, onde pressionou Bouzy para ser mais transparente.

“Bouzy… excluiu todas as minhas postagens e limpou meu mural”, escreveu Natale, em resposta a outro usuário do Bluesky.

Screenshot 2024 02 12 at 1.22.02 PM

Créditos da imagem: social/post/3klae5au26o2y" rel="noopener">Mike Natale em Bluesky (abre em uma nova janela)

Em outra resposta, social/post/3kktcwbx7fc2y" rel="noopener">Natale explicou que Bouzy inicialmente republicou suas postagens no Spoutible para comentar o assunto, mas depois excluiu todas as postagens de Natale quando rebateu “a narrativa de que isso foi um ataque” e “que outras empresas tiveram as mesmas falhas”.

As postagens ausentes não incluem a tag usual indicando sua exclusão. No Spoutible, as postagens removidas têm uma nota do sistema anexada dizendo “@user excluiu esta resposta”. Por exemplo, se Bouzy tivesse excluído a resposta, seria “@bouzy excluído esta resposta”.

Mas neste caso, Natale disse em comentários no Bluesky que as postagens acabaram e seu feed principal do Spoutible nem carrega.

A conta Twitter/X Duvidoso também postou sobre as afirmações de Natale. Natale não retornou pedidos de comentários.

Enquanto isso, o CEO do Spoutible, Christopher Bouzy, nega ter excluído as postagens de Natale.

“Em relação ao problema com o usuário Natale, não excluímos suas postagens ou conta. É possível que os usuários removam seu próprio conteúdo e depois nos acusem falsamente”, disse ele, sugerindo novamente uma conspiração. “A alegação é infundada e não merece mais discussão”, concluiu.

O incidente no Spoutible traz à mente outra empresa menor, a Hive, que também enfrentou um grande problema de segurança após ser inundada com usuários do Twitter logo após a aquisição de Elon Musk. Nesse caso, a inicialização desligou totalmente seu aplicativo para corrigir as falhas críticas antes de retornar à app store. O Hive conseguiu resistir à tempestade e eventualmente retornar, mas não é mais considerado uma ameaça ao Twitter após a oportunidade perdida.

Ainda não se sabe se a reputação do Spoutible se recuperará dessa mancha.



Últimas

Mulheres na IA: Rashida Richardson, conselheira sênior da Mastercard com foco em IA e privacidade

Para dar às mulheres acadêmicas e outras pessoas...

OnePlus fez uma ‘pausa reflexiva’ de três anos antes de aumentar a bateria do seu smartwatch

Estamos em 2024. Todos os smartwatches devem oferecer...

PPC Facilitado: 4 Estratégias para Economizar Tempo com Ferramentas Gratuitas

Esta postagem foi patrocinada por Redesign.co. As opiniões expressas...

Google Responde a Evidências de Viés de Algoritmo em Avaliações

O Google respondeu a um pequeno editor cujo...

Assine

[tds_leads input_placeholder="Email address" btn_horiz_align="content-horiz-center" pp_msg="SSd2ZSUyMHJlYWQlMjBhbmQlMjBhY2NlcHQlMjB0aGUlMjAlM0NhJTIwaHJlZiUzRCUyMiUyMyUyMiUzRVByaXZhY3klMjBQb2xpY3klM0MlMkZhJTNFLg==" msg_composer="" display="column" gap="10" input_padd="eyJhbGwiOiIxM3B4IDEwcHgiLCJsYW5kc2NhcGUiOiIxMnB4IDhweCIsInBvcnRyYWl0IjoiMTBweCA2cHgifQ==" input_border="1" btn_text="I want in" btn_icon_size="eyJhbGwiOiIxOSIsImxhbmRzY2FwZSI6IjE3IiwicG9ydHJhaXQiOiIxNSJ9" btn_icon_space="eyJhbGwiOiI1IiwicG9ydHJhaXQiOiIzIn0=" btn_radius="0" input_radius="0" f_msg_font_family="831" f_msg_font_size="eyJhbGwiOiIxMiIsInBvcnRyYWl0IjoiMTIifQ==" f_msg_font_weight="400" f_msg_font_line_height="1.4" f_input_font_family="831" f_input_font_size="eyJhbGwiOiIxMyIsImxhbmRzY2FwZSI6IjEzIiwicG9ydHJhaXQiOiIxMiJ9" f_input_font_line_height="1.2" f_btn_font_family="831" f_input_font_weight="400" f_btn_font_size="eyJhbGwiOiIxMiIsImxhbmRzY2FwZSI6IjEyIiwicG9ydHJhaXQiOiIxMSJ9" f_btn_font_line_height="1.2" f_btn_font_weight="400" pp_check_color="#000000" pp_check_color_a="var(--center-demo-1)" pp_check_color_a_h="var(--center-demo-2)" f_btn_font_transform="uppercase" tdc_css="eyJhbGwiOnsibWFyZ2luLWJvdHRvbSI6IjQwIiwiZGlzcGxheSI6IiJ9LCJwb3J0cmFpdCI6eyJtYXJnaW4tYm90dG9tIjoiMzAiLCJkaXNwbGF5IjoiIn0sInBvcnRyYWl0X21heF93aWR0aCI6MTAxOCwicG9ydHJhaXRfbWluX3dpZHRoIjo3Njh9" btn_bg="var(--center-demo-1)" btn_bg_h="var(--center-demo-2)" title_space="eyJwb3J0cmFpdCI6IjEyIiwibGFuZHNjYXBlIjoiMTQiLCJhbGwiOiIxOCJ9" msg_space="eyJsYW5kc2NhcGUiOiIwIDAgMTJweCJ9" btn_padd="eyJsYW5kc2NhcGUiOiIxMiIsInBvcnRyYWl0IjoiMTBweCIsImFsbCI6IjE3cHgifQ==" msg_padd="eyJwb3J0cmFpdCI6IjZweCAxMHB4In0=" msg_err_radius="0" msg_succ_bg="var(--center-demo-1)" msg_succ_radius="0" f_msg_font_spacing="0.5"]
spot_img

Veja Também

Mulheres na IA: Rashida Richardson, conselheira sênior da Mastercard com foco em IA e privacidade

Para dar às mulheres acadêmicas e outras pessoas...

OnePlus fez uma ‘pausa reflexiva’ de três anos antes de aumentar a bateria do seu smartwatch

Estamos em 2024. Todos os smartwatches devem oferecer...

PPC Facilitado: 4 Estratégias para Economizar Tempo com Ferramentas Gratuitas

Esta postagem foi patrocinada por Redesign.co. As opiniões expressas...

Google Responde a Evidências de Viés de Algoritmo em Avaliações

O Google respondeu a um pequeno editor cujo...

YouTube Analytics: Shorts, Vídeos sob Demanda e Lives Mais Lucrativos

O YouTube Analytics agora informa aos criadores o conteúdo...
spot_img

Mulheres na IA: Rashida Richardson, conselheira sênior da Mastercard com foco em IA e privacidade

Para dar às mulheres acadêmicas e outras pessoas focadas em IA o merecido - e devido - tempo de destaque, o TechCrunch está...

OnePlus fez uma ‘pausa reflexiva’ de três anos antes de aumentar a bateria do seu smartwatch

Estamos em 2024. Todos os smartwatches devem oferecer vários dias de duração da bateria, ponto final. Do jeito que as coisas estão...

PPC Facilitado: 4 Estratégias para Economizar Tempo com Ferramentas Gratuitas

Esta postagem foi patrocinada por Redesign.co. As opiniões expressas neste artigo são de responsabilidade do patrocinador.Cansado de gastar demais em ferramentas PPC que fornecem...