·  ·  · 

Pane no Login do X: Troca de Chave de Segurança para X.com Trava Usuários ao Twitter.com Finalmente Sair do Ar (13 de novembro de 2025)

Novembro 14, 2025
by
X Login Outage: Security Key Switch to X.com Locks Out Users as Twitter.com Finally Dies (November 13, 2025)

Milhões de usuários do X (anteriormente Twitter) que fizeram “tudo certo” para a segurança da conta passaram as últimas 24 horas bloqueados, presos em infinitos loops de autenticação em duas etapas e recebidos por uma mensagem confusa:

“Você deve reinscrever sua YubiKey.”

A falha está diretamente ligada ao esforço de longa data de Elon Musk para apagar os últimos vestígios de twitter.com e transferir totalmente os logins para x.com — uma transição de marca e domínio que críticos já consideravam uma das rebrandings mais bagunçadas da tecnologia. [1]

Veja o que aconteceu, o que há de novo hoje (13 de novembro de 2025) e o que você pode fazer se sua conta X estiver atualmente presa no inferno da autenticação.

O que aconteceu: a troca de chave de segurança do X deu errado

Entre 24 e 27 de outubro, o X avisou discretamente os usuários que, se usassem uma chave de segurança física (como uma YubiKey) ou passkey para autenticação em duas etapas (2FA), eles teriam que reinscrevê-la para o novo domínio x.com até 10 de novembro de 2025, ou correriam o risco de serem bloqueados. [2]

A equipe de Segurança do X enfatizou na época que:

  • A mudança “não estava relacionada a nenhum incidente de segurança,”
  • Ela apenas afetava chaves de segurança e passkeys,
  • E era necessária porque essas chaves estão criptograficamente vinculadas ao twitter.com, que o X quer aposentar. [3]

Veículos de segurança como BleepingComputer e The Register explicaram que, uma vez que o twitter.com acabar, as chaves vinculadas a esse domínio simplesmente não funcionarão — então elas precisam ser registradas novamente para o x.com. [4]

Esse era o plano.

A realidade chegou esta semana.

12–13 de novembro: erro da YubiKey e loops infinitos de login

A partir do final de 12 de novembro (horário dos EUA) e entrando nas primeiras horas de 13 de novembro de 2025, usuários do X começaram a relatar que não conseguiam mais fazer login na web ou no celular:

  • Após inserir a senha, eram informados de que “deveriam reinscrever [sua] YubiKey” para associá-la ao x.com. [5]
  • Quando tentaram seguir as instruções, o fluxo simplesmente… entrava em loop.
  • Alguns nunca tiveram uma YubiKey, mas ainda assim foram forçados para a mesma tela de “reinscrever sua YubiKey”. [6]

Android Central, Windows Central e TechCrunch documentaram o mesmo padrão: um problema global de login para contas vinculadas a chaves de segurança ou passkeys, frequentemente resultando em um beco sem saída de verificação ou bloqueio total, mesmo quando os usuários seguiam corretamente as instruções. [7]

O site especializado em segurança The Tech Buzz descreveu de forma direta como uma “migração de chave de segurança” que deu errado, transformando a manutenção de domínio em um “inferno de autenticação” para os usuários mais preocupados com segurança da plataforma. [8]

Atualização de hoje (13 de novembro de 2025): Recuperação parcial, caos persistente

Novas reportagens e postagens de usuários hoje sugerem que o pior da interrupção está diminuindo — mas nem todos conseguiram voltar ainda.

Redações: Problema confirmado, X ainda em grande parte em silêncio

  • NewsBytes relata que o X está “enfrentando um grande problema após uma mudança obrigatória na autenticação em duas etapas”, deixando usuários “presos em loops infinitos ou completamente bloqueados”, e observa que o X não se pronunciou publicamente sobre a falha. [9]
  • Storyboard18 também descreve uma “atualização de segurança malfeita” que bloqueou usuários ou os prendeu em loops de login — novamente enfatizando que o X não ofereceu explicação oficial enquanto Elon Musk continua postando normalmente de sua própria conta. [10]
  • Tech Buzz atualizou sua matéria esta manhã para refletir falhas contínuas de autenticação e a ausência de um comunicado formal do X. [11]

O TechCrunch observa que o X “não respondeu ao pedido de comentário”, mesmo enquanto sua própria cobertura detalhava loops infinitos e bloqueios generalizados após o prazo de 10 de novembro. [12]

Relatos de usuários: rollback em andamento, mas não universal

O blog ao vivo do Windows Central, citando fontes internas, relatou em 12 de novembro que os engenheiros do X estavam revertendo mudanças recentes, e no meio da tarde o redator conseguiu fazer login novamente enquanto os relatos de instabilidade no DownDetector começaram a diminuir. [13]

Nas comunidades r/Yubikey e r/Twitter do Reddit, usuários descrevem: [14]

  • Problemas globais com o fluxo de login do YubiKey/passkey do X.
  • Mensagens confusas para “reinscrever sua YubiKey” mesmo para pessoas que só usaram passkeys ou aplicativos autenticadores.
  • Uma onda de comentários no início do dia como “Consegui entrar de novo” e “Resolvido para ambas as minhas contas”junto com outros dizendo que ainda estão bloqueados.

Um comentário amplamente compartilhado no Reddit faz referência a uma postagem de um engenheiro verificado do X afirmando que o “problema de login com chave de segurança deve ser resolvido em breve”, mas a correção claramente está sendo implementada de forma desigual: algumas contas voltaram a funcionar, outras ainda estão presas no loop. [15]

Resumo para 13 de novembro:

  • A instabilidade está melhorando, mas ainda não acabou totalmente.
  • Ainda não há um post-mortem público e detalhado do X.

Quem foi afetado — e quem não foi?

Com base nos relatos da cobertura de hoje e postagens de usuários: [16]

Mais afetados:

  • Contas que alguma vez configuraram:
    • Uma chave de segurança física (YubiKey ou similar), ou
    • Uma passkey (autenticador de plataforma usando Face ID, Touch ID, Windows Hello, etc.)
  • Especialmente usuários cujas chaves foram originalmente registradas quando o serviço ainda usava twitter.com para login.

Pouco afetados (até agora):

  • Contas usando autenticadores baseados em aplicativo (apps TOTP),
  • Contas usando códigos SMS ou e-mail para 2FA,
  • Contas sem 2FA (embora isso seja fortemente desencorajado para segurança).

Ironicamente, as pessoas que investiram nas proteções mais fortes — tokens físicos e passkeys — foram as mais prejudicadas por essa migração malfeita. Vários relatos de usuários também sugerem que alguns usuários sem chave foram afetados pelo erro devido a um fluxo de login com bugs que não detectou corretamente sua configuração. [17]

Por que a mudança de twitter.com → x.com quebrou o login

Para entender a indisponibilidade, é preciso entender como funcionam as chaves de segurança e passkeys.

Diferente de senhas, WebAuthn/FIDO2 security keys e passkeys são vinculadas a um domínio específico. Quando você registrou uma chave pela primeira vez para twitter.com, ela se bloqueou criptograficamente para essa origem exata. [18]

Então, quando o X decidiu finalmente eliminar o domínio antigo e mover os logins totalmente para x.com:

  1. Chaves registradas para twitter.com pararam de corresponder ao novo domínio.
  2. O X então exigiu que os usuários cancelassem o registro e registrassem novamente para x.com.
  3. O próprio fluxo de novo registro parece ter quebrado, causando:
    • Loops infinitos de volta para a tela “registre novamente seu YubiKey”,
    • Solicitações de login para YubiKeys em contas que só usavam passkeys ou aplicativos,
    • Usuários incapazes de acessar a página de configurações onde a alteração deve ser feita. [19]

O X Safety anteriormente tranquilizou os usuários dizendo que era apenas uma manutenção simples e “não relacionada a nenhuma preocupação de segurança,” mas a execução claramente falhou nas expectativas básicas de confiabilidade: migrações de segurança deveriam tornar as pessoas mais seguras, não desconectá-las em massa. [20]

Isso é um hack ou vazamento de dados?

Não há nenhuma evidência até agora de que este incidente seja um hack, vazamento ou ataque cibernético externo.

  • Os próprios esclarecimentos do X em outubro enquadraram o reset das chaves como uma migração de domínio, não uma resposta a incidente. [21]
  • Relatórios atuais da NewsBytes, Storyboard18, TechBuzz, TechCrunch e outros todos conectam a queda a uma falha na implementação da migração planejada da chave de segurança, e não a um comprometimento dos sistemas do X. [22]

Dito isso, o X ainda não compartilhou uma explicação técnica detalhada, então observadores externos ainda estão reunindo as causas a partir do comportamento e de comentários internos vazados.

O que fazer se você estiver bloqueado fora da sua conta X

Se você está atualmente preso no loop YubiKey/passkey, aqui estão passos práticos extraídos das orientações anteriores do X e das recomendações de especialistas em segurança. [23]

1. Tente a partir de um dispositivo onde você já está logado

Se você ainda tem uma sessão ativa do X em:

  • Um celular,
  • Um tablet, ou
  • Outro perfil de navegador,

use essa sessão logada para:

  1. Ir para Configurações → Segurança e acesso à conta → Segurança → Autenticação de dois fatores.
  2. Temporariamente desative a entrada antiga de chave de segurança/passkey que faz referência a twitter.com.
  3. Adicione um(a) método de 2FA de backup (aplicativo autenticador ou outra chave física) se ainda não tiver um.
  4. Reinscreva sua YubiKey/passkey para x.com somente quando os problemas de migração estiverem claramente resolvidos.

2. Verifique outras opções de 2FA

Alguns usuários relatam que ainda conseguem acessar via: [24]

  • Um(a) aplicativo autenticador que configuraram anteriormente,
  • Códigos SMS ou por e-mail,
  • Uma chave física de backup.

Se você conseguir autenticar com um desses, vá direto para as configurações e verifique:

  • Quais chaves de segurança estão listadas,
  • Se sua chave agora está vinculada ao x.com,
  • E se você tem pelo menos um(a) método de backup funcionando.

3. Use o formulário de recuperação de conta do X

Se nenhum método de login funcionar e você estiver completamente bloqueado, seu único caminho oficial é entrar em contato com o suporte do X através do formulário “recuperar acesso à sua conta”, ao qual vários usuários no Reddit dizem ter recorrido. [25]

Esse processo pode ser lento e não há garantia de sucesso, mas é a única rota legítima de recuperação que o X oferece se o 2FA estiver com problemas.

4. Evite desativar o 2FA completamente (se puder evitar)

Os próprios avisos do X antes do prazo diziam que, após 10 de novembro, você poderia: [26]

  • Reinscrever sua chave ou passkey,
  • Trocar para outro método de 2FA, ou
  • Desativar o 2FA completamente (o que eles mesmos “desencorajam fortemente”).

A menos que você realmente precise voltar imediatamente e não tenha outras opções, tente não desativar o 2FA permanentemente. Fazer isso expõe sua conta a phishing, reutilização de senha e ataques de troca de SIM — exatamente as ameaças que as chaves de segurança pretendem evitar.

Se você enfraquecer temporariamente sua segurança para recuperar o acesso, planeje:

  1. Adicionar um aplicativo autenticador ou chave reserva imediatamente, e
  2. Reativar o 2FA forte assim que os sistemas de login do X estiverem estáveis.

5. Cuidado com e-mails de phishing e “suporte” falso

Incidentes como este são um ímã para golpistas. Fique atento a:

  • E-mails alegando ser da “Segurança do X” pedindo para você “corrigir” sua chave,
  • Mensagens diretas oferecendo restaurar sua conta mediante pagamento,
  • Links que parecem x.com mas não são (caracteres extras, subdomínios estranhos, etc.).

Se for clicar em algo, digite x.com você mesmo no navegador e navegue pela interface oficial em vez de confiar em links em mensagens.

Mais um tropeço no longo e bagunçado rebranding do X

Do ponto de vista da marca, essa interrupção é simbolicamente brutal.

  • O site de design Creative Bloq recentemente chamou a reformulação do X por Musk de “uma das rebrands mais confusas da década”, observando que as pessoas ainda se referem instintivamente à plataforma como “X, anteriormente conhecido como Twitter” mais de dois anos depois. [27]
  • Essa matéria apontou que um dos últimos vestígios técnicos do Twitter — a URL twitter.com — estava finalmente sendo aposentada, com os logins redirecionando totalmente para x.com.

Agora, o próprio ato de enterrar o twitter.com trouxe a antiga marca de volta às manchetes, enquanto usuários reclamam que “o Twitter errou de novo” ao tentar corrigir os últimos traços de… Twitter. [28]

Para os críticos, esse incidente se encaixa em um padrão que eles destacam desde a aquisição por Musk: mudanças agressivas, de cima para baixo, implementadas em alta velocidade, com equipes de engenharia reduzidas e aparentemente poucas redes de segurança. Diversos veículos hoje enquadram explicitamente a queda como a mais recente de uma série de tropeços operacionais desde a aquisição de US$ 44 bilhões. [29]

Isso significa que passkeys e chaves de segurança são uma má ideia?

Resposta curta: não — mas é um alerta sobre como implementá-las.

Relatórios do BleepingComputer, The Verge e The Register enfatizam que chaves físicas e passkeys continuam sendo algumas das formas mais seguras de autenticação disponíveis atualmente. Elas reduzem drasticamente o risco de phishing porque só respondem no domínio exato para o qual foram registradas. [30]

O que deu errado aqui não foi a tecnologia subjacente. Foi:

  • Planejamento de migração mal conduzido (forçando o recadastramento contra um prazo rígido),
  • Um fluxo de recadastramento com bugs e sem alternativa confiável,
  • Comunicação fraca durante a queda, deixando os usuários depurarem falhas de segurança em público. [31]

Para outras plataformas que acompanham esse caso, a lição é clara:

Se você vai migrar milhões de usuários para um novo domínio com credenciais vinculadas a hardware, é preciso testes à prova de falhas, implementação gradual e caminhos robustos de recuperação.

FAQ: Interrupção da chave de segurança X, 13 de novembro de 2025

O que causou a interrupção de login do X?
Uma migração forçada de chaves de segurança e passkeys do domínio twitter.com para x.com, combinada com um fluxo de re-registro quebrado que prendeu usuários em loops de YubiKey/passkey e bloqueou o acesso às configurações da conta. [32]

Quem foi mais afetado?
Usuários que configuraram chaves de segurança de hardware ou passkeys para 2FA, especialmente aqueles cujas chaves foram originalmente registradas quando os logins ainda usavam twitter.com. Muitos deles ficaram temporariamente ou ainda estão completamente bloqueados. [33]

O problema já foi resolvido (13 de novembro de 2025)?
Relatos do Windows Central e Reddit mostram que muitos usuários conseguem fazer login novamente depois que o X aparentemente reverteu partes da mudança, mas outros continuam presos, e o X não publicou um post-mortem público detalhado. [34]

O X foi hackeado?
Não há evidências públicas de invasão ou vazamento de dados. O X e reportagens de segurança independentes atribuem o incidente a uma migração interna de chaves de segurança mal executada, não a um ataque externo. [35]

Devo desativar o 2FA na minha conta X?
Somente como último recurso. Desativar o 2FA torna sua conta muito mais fácil de ser comprometida. Se for necessário enfraquecer a segurança para recuperar o acesso, adicione um aplicativo autenticador ou chave reserva e ative o 2FA forte novamente assim que os sistemas do X se estabilizarem. [36]

Em 13 de novembro, a crise está lentamente se resolvendo, mas o dano à confiança dos usuários — e à já controversa mudança de marca do X — pode durar muito mais do que a própria interrupção.

How to fix Xbox not signing in to your account (check service status in Xbox assist) 0X87DD0033
Watch this video on YouTube.

References

1. www.creativebloq.com, 2. www.theverge.com, 3. www.theverge.com, 4. www.bleepingcomputer.com, 5. www.androidcentral.com, 6. www.reddit.com, 7. www.androidcentral.com, 8. www.techbuzz.ai, 9. www.newsbytesapp.com, 10. www.storyboard18.com, 11. www.techbuzz.ai, 12. techcrunch.com, 13. www.windowscentral.com, 14. www.reddit.com, 15. www.reddit.com, 16. www.newsbytesapp.com, 17. www.androidcentral.com, 18. www.theverge.com, 19. www.techbuzz.ai, 20. www.theregister.com, 21. www.theregister.com, 22. www.newsbytesapp.com, 23. www.bleepingcomputer.com, 24. www.androidcentral.com, 25. www.reddit.com, 26. www.bleepingcomputer.com, 27. www.creativebloq.com, 28. www.creativebloq.com, 29. www.techbuzz.ai, 30. www.bleepingcomputer.com, 31. www.techbuzz.ai, 32. www.newsbytesapp.com, 33. www.techbuzz.ai, 34. www.windowscentral.com, 35. www.theregister.com, 36. www.bleepingcomputer.com

Mateusz Brzeziński

Technology News

  • Disney Plus eyes AI-generated videos, gaming features and commerce, says Bob Iger
    November 14, 2025, 3:56 PM EST. Disney CEO Bob Iger signaled that AI could reshape Disney Plus, enabling viewers to create and consume short-form AI-generated videos on the platform. In an earnings call, he said there are phenomenal opportunities to deploy AI across our direct-to-consumer platforms to make experiences more dynamic and sticky, and to empower fans to contribute content. While no specifics were given, the comments align with Disney's plan to weave gaming features via its partnership with Epic Games and to turn Disney Plus into an engagement engine for parks, hotels, and cruises through commerce opportunities. The company recently reported subscriber gains in the US/Canada and higher plan prices, underscoring a pivot toward more interactive, AI-powered and cross-ecosystem experiences.
  • Alumna Denisse Aranda Leads Contamination Control on Blue Origin's New Glenn Launch
    November 14, 2025, 3:54 PM EST. Alumna Denisse Aranda ('10) is celebrated as she helps Blue Origin's New Glenn rocket launch during NASA's ESCAPADE mission. As a level-5 contamination control engineer, Aranda leads the end-to-end cleanliness plan for the 320-plus-foot rocket and its cargo, ensuring systems stay free of debris before, during, and after lift-off. She focuses on managing micro-particles, defining mission-specific cleanliness levels, and preventing cross-contamination through planetary protection measures. Her work protects sensitive payloads-such as star trackers and optics-where even tiny particles can degrade data or steer a mission off course. Aranda's role highlights the critical intersection of contamination control, spacecraft reliability, and responsible exploration of the Solar System.
  • LinkedIn rolls out AI-powered people search for premium subscribers
    November 14, 2025, 3:52 PM EST. LinkedIn is injecting AI into its core search with a new AI-powered people search for premium subscribers in the U.S., allowing natural-language queries like "investors in healthcare with FDA experience." The feature marks LinkedIn's biggest AI integration into its search and targets competition from emerging AI-powered people-discovery startups. By shifting from keyword-based search to intent-driven discovery, LinkedIn aims to keep users on its platform as recruiters and business developers rely more on AI agents. Early tests show promise but also accuracy gaps, with queries sometimes surfacing the wrong results. The rollout underscores the broader enterprise AI race, with Google, Bing, and startups like Happenstance.ai and Superposition.ai expanding AI search capabilities.
  • Disney+ Readies Major Push into Games and AI-Generated Content, CEO Says
    November 14, 2025, 3:50 PM EST. Disney+ is set for its biggest product shift since launch, CEO Bob Iger says, with plans to weave in games, AI-powered user-generated content (UGC), and deeper integration with Epic Games. The company envisions Disney+ as an engagement engine linking streaming to theme parks, hotels, and cruises, while leveraging a $1.5B investment to introduce game-like features on the platform. Iger notes opportunities to mine data and deploy AI across direct-to-consumer services to create a more dynamic, stickier experience and enable user-created content, all within a strict sandbox to protect IP. Disney is also exploring conversations with AI partners to balance innovation with IP protection, aiming to offer a portal to all things Disney.
  • Expert: Readiness, not age, key to kids' smartphones
    November 14, 2025, 3:48 PM EST. There's no universal age for smartphones; readiness hinges on responsibility, safety, and family norms. An expert urges parents to start late and practice device use at home, with middle school as a practical entry point. Before gifting, discuss conduct, privacy, and the financial risks of repairs. Treat access as a privilege, not a right, and set clear rules such as limited use and no devices at night or on weekends. Consider starting with a simpler model rather than the latest tech, and involve kids in cost decisions. The bottom line: tailor the decision to the child and household, and have thorough conversations about expectations, safety, and consequences before giving a device.