·  ·  · 

Pane no Login do X: Troca de Chave de Segurança para X.com Trava Usuários ao Twitter.com Finalmente Sair do Ar (13 de novembro de 2025)

Novembro 14, 2025
by
X Login Outage: Security Key Switch to X.com Locks Out Users as Twitter.com Finally Dies (November 13, 2025)

Milhões de usuários do X (anteriormente Twitter) que fizeram “tudo certo” para a segurança da conta passaram as últimas 24 horas bloqueados, presos em infinitos loops de autenticação em duas etapas e recebidos por uma mensagem confusa:

“Você deve reinscrever sua YubiKey.”

A falha está diretamente ligada ao esforço de longa data de Elon Musk para apagar os últimos vestígios de twitter.com e transferir totalmente os logins para x.com — uma transição de marca e domínio que críticos já consideravam uma das rebrandings mais bagunçadas da tecnologia. [1]

Veja o que aconteceu, o que há de novo hoje (13 de novembro de 2025) e o que você pode fazer se sua conta X estiver atualmente presa no inferno da autenticação.

O que aconteceu: a troca de chave de segurança do X deu errado

Entre 24 e 27 de outubro, o X avisou discretamente os usuários que, se usassem uma chave de segurança física (como uma YubiKey) ou passkey para autenticação em duas etapas (2FA), eles teriam que reinscrevê-la para o novo domínio x.com até 10 de novembro de 2025, ou correriam o risco de serem bloqueados. [2]

A equipe de Segurança do X enfatizou na época que:

  • A mudança “não estava relacionada a nenhum incidente de segurança,”
  • Ela apenas afetava chaves de segurança e passkeys,
  • E era necessária porque essas chaves estão criptograficamente vinculadas ao twitter.com, que o X quer aposentar. [3]

Veículos de segurança como BleepingComputer e The Register explicaram que, uma vez que o twitter.com acabar, as chaves vinculadas a esse domínio simplesmente não funcionarão — então elas precisam ser registradas novamente para o x.com. [4]

Esse era o plano.

A realidade chegou esta semana.

12–13 de novembro: erro da YubiKey e loops infinitos de login

A partir do final de 12 de novembro (horário dos EUA) e entrando nas primeiras horas de 13 de novembro de 2025, usuários do X começaram a relatar que não conseguiam mais fazer login na web ou no celular:

  • Após inserir a senha, eram informados de que “deveriam reinscrever [sua] YubiKey” para associá-la ao x.com. [5]
  • Quando tentaram seguir as instruções, o fluxo simplesmente… entrava em loop.
  • Alguns nunca tiveram uma YubiKey, mas ainda assim foram forçados para a mesma tela de “reinscrever sua YubiKey”. [6]

Android Central, Windows Central e TechCrunch documentaram o mesmo padrão: um problema global de login para contas vinculadas a chaves de segurança ou passkeys, frequentemente resultando em um beco sem saída de verificação ou bloqueio total, mesmo quando os usuários seguiam corretamente as instruções. [7]

O site especializado em segurança The Tech Buzz descreveu de forma direta como uma “migração de chave de segurança” que deu errado, transformando a manutenção de domínio em um “inferno de autenticação” para os usuários mais preocupados com segurança da plataforma. [8]

Atualização de hoje (13 de novembro de 2025): Recuperação parcial, caos persistente

Novas reportagens e postagens de usuários hoje sugerem que o pior da interrupção está diminuindo — mas nem todos conseguiram voltar ainda.

Redações: Problema confirmado, X ainda em grande parte em silêncio

  • NewsBytes relata que o X está “enfrentando um grande problema após uma mudança obrigatória na autenticação em duas etapas”, deixando usuários “presos em loops infinitos ou completamente bloqueados”, e observa que o X não se pronunciou publicamente sobre a falha. [9]
  • Storyboard18 também descreve uma “atualização de segurança malfeita” que bloqueou usuários ou os prendeu em loops de login — novamente enfatizando que o X não ofereceu explicação oficial enquanto Elon Musk continua postando normalmente de sua própria conta. [10]
  • Tech Buzz atualizou sua matéria esta manhã para refletir falhas contínuas de autenticação e a ausência de um comunicado formal do X. [11]

O TechCrunch observa que o X “não respondeu ao pedido de comentário”, mesmo enquanto sua própria cobertura detalhava loops infinitos e bloqueios generalizados após o prazo de 10 de novembro. [12]

Relatos de usuários: rollback em andamento, mas não universal

O blog ao vivo do Windows Central, citando fontes internas, relatou em 12 de novembro que os engenheiros do X estavam revertendo mudanças recentes, e no meio da tarde o redator conseguiu fazer login novamente enquanto os relatos de instabilidade no DownDetector começaram a diminuir. [13]

Nas comunidades r/Yubikey e r/Twitter do Reddit, usuários descrevem: [14]

  • Problemas globais com o fluxo de login do YubiKey/passkey do X.
  • Mensagens confusas para “reinscrever sua YubiKey” mesmo para pessoas que só usaram passkeys ou aplicativos autenticadores.
  • Uma onda de comentários no início do dia como “Consegui entrar de novo” e “Resolvido para ambas as minhas contas”junto com outros dizendo que ainda estão bloqueados.

Um comentário amplamente compartilhado no Reddit faz referência a uma postagem de um engenheiro verificado do X afirmando que o “problema de login com chave de segurança deve ser resolvido em breve”, mas a correção claramente está sendo implementada de forma desigual: algumas contas voltaram a funcionar, outras ainda estão presas no loop. [15]

Resumo para 13 de novembro:

  • A instabilidade está melhorando, mas ainda não acabou totalmente.
  • Ainda não há um post-mortem público e detalhado do X.

Quem foi afetado — e quem não foi?

Com base nos relatos da cobertura de hoje e postagens de usuários: [16]

Mais afetados:

  • Contas que alguma vez configuraram:
    • Uma chave de segurança física (YubiKey ou similar), ou
    • Uma passkey (autenticador de plataforma usando Face ID, Touch ID, Windows Hello, etc.)
  • Especialmente usuários cujas chaves foram originalmente registradas quando o serviço ainda usava twitter.com para login.

Pouco afetados (até agora):

  • Contas usando autenticadores baseados em aplicativo (apps TOTP),
  • Contas usando códigos SMS ou e-mail para 2FA,
  • Contas sem 2FA (embora isso seja fortemente desencorajado para segurança).

Ironicamente, as pessoas que investiram nas proteções mais fortes — tokens físicos e passkeys — foram as mais prejudicadas por essa migração malfeita. Vários relatos de usuários também sugerem que alguns usuários sem chave foram afetados pelo erro devido a um fluxo de login com bugs que não detectou corretamente sua configuração. [17]

Por que a mudança de twitter.com → x.com quebrou o login

Para entender a indisponibilidade, é preciso entender como funcionam as chaves de segurança e passkeys.

Diferente de senhas, WebAuthn/FIDO2 security keys e passkeys são vinculadas a um domínio específico. Quando você registrou uma chave pela primeira vez para twitter.com, ela se bloqueou criptograficamente para essa origem exata. [18]

Então, quando o X decidiu finalmente eliminar o domínio antigo e mover os logins totalmente para x.com:

  1. Chaves registradas para twitter.com pararam de corresponder ao novo domínio.
  2. O X então exigiu que os usuários cancelassem o registro e registrassem novamente para x.com.
  3. O próprio fluxo de novo registro parece ter quebrado, causando:
    • Loops infinitos de volta para a tela “registre novamente seu YubiKey”,
    • Solicitações de login para YubiKeys em contas que só usavam passkeys ou aplicativos,
    • Usuários incapazes de acessar a página de configurações onde a alteração deve ser feita. [19]

O X Safety anteriormente tranquilizou os usuários dizendo que era apenas uma manutenção simples e “não relacionada a nenhuma preocupação de segurança,” mas a execução claramente falhou nas expectativas básicas de confiabilidade: migrações de segurança deveriam tornar as pessoas mais seguras, não desconectá-las em massa. [20]

Isso é um hack ou vazamento de dados?

Não há nenhuma evidência até agora de que este incidente seja um hack, vazamento ou ataque cibernético externo.

  • Os próprios esclarecimentos do X em outubro enquadraram o reset das chaves como uma migração de domínio, não uma resposta a incidente. [21]
  • Relatórios atuais da NewsBytes, Storyboard18, TechBuzz, TechCrunch e outros todos conectam a queda a uma falha na implementação da migração planejada da chave de segurança, e não a um comprometimento dos sistemas do X. [22]

Dito isso, o X ainda não compartilhou uma explicação técnica detalhada, então observadores externos ainda estão reunindo as causas a partir do comportamento e de comentários internos vazados.

O que fazer se você estiver bloqueado fora da sua conta X

Se você está atualmente preso no loop YubiKey/passkey, aqui estão passos práticos extraídos das orientações anteriores do X e das recomendações de especialistas em segurança. [23]

1. Tente a partir de um dispositivo onde você já está logado

Se você ainda tem uma sessão ativa do X em:

  • Um celular,
  • Um tablet, ou
  • Outro perfil de navegador,

use essa sessão logada para:

  1. Ir para Configurações → Segurança e acesso à conta → Segurança → Autenticação de dois fatores.
  2. Temporariamente desative a entrada antiga de chave de segurança/passkey que faz referência a twitter.com.
  3. Adicione um(a) método de 2FA de backup (aplicativo autenticador ou outra chave física) se ainda não tiver um.
  4. Reinscreva sua YubiKey/passkey para x.com somente quando os problemas de migração estiverem claramente resolvidos.

2. Verifique outras opções de 2FA

Alguns usuários relatam que ainda conseguem acessar via: [24]

  • Um(a) aplicativo autenticador que configuraram anteriormente,
  • Códigos SMS ou por e-mail,
  • Uma chave física de backup.

Se você conseguir autenticar com um desses, vá direto para as configurações e verifique:

  • Quais chaves de segurança estão listadas,
  • Se sua chave agora está vinculada ao x.com,
  • E se você tem pelo menos um(a) método de backup funcionando.

3. Use o formulário de recuperação de conta do X

Se nenhum método de login funcionar e você estiver completamente bloqueado, seu único caminho oficial é entrar em contato com o suporte do X através do formulário “recuperar acesso à sua conta”, ao qual vários usuários no Reddit dizem ter recorrido. [25]

Esse processo pode ser lento e não há garantia de sucesso, mas é a única rota legítima de recuperação que o X oferece se o 2FA estiver com problemas.

4. Evite desativar o 2FA completamente (se puder evitar)

Os próprios avisos do X antes do prazo diziam que, após 10 de novembro, você poderia: [26]

  • Reinscrever sua chave ou passkey,
  • Trocar para outro método de 2FA, ou
  • Desativar o 2FA completamente (o que eles mesmos “desencorajam fortemente”).

A menos que você realmente precise voltar imediatamente e não tenha outras opções, tente não desativar o 2FA permanentemente. Fazer isso expõe sua conta a phishing, reutilização de senha e ataques de troca de SIM — exatamente as ameaças que as chaves de segurança pretendem evitar.

Se você enfraquecer temporariamente sua segurança para recuperar o acesso, planeje:

  1. Adicionar um aplicativo autenticador ou chave reserva imediatamente, e
  2. Reativar o 2FA forte assim que os sistemas de login do X estiverem estáveis.

5. Cuidado com e-mails de phishing e “suporte” falso

Incidentes como este são um ímã para golpistas. Fique atento a:

  • E-mails alegando ser da “Segurança do X” pedindo para você “corrigir” sua chave,
  • Mensagens diretas oferecendo restaurar sua conta mediante pagamento,
  • Links que parecem x.com mas não são (caracteres extras, subdomínios estranhos, etc.).

Se for clicar em algo, digite x.com você mesmo no navegador e navegue pela interface oficial em vez de confiar em links em mensagens.

Mais um tropeço no longo e bagunçado rebranding do X

Do ponto de vista da marca, essa interrupção é simbolicamente brutal.

  • O site de design Creative Bloq recentemente chamou a reformulação do X por Musk de “uma das rebrands mais confusas da década”, observando que as pessoas ainda se referem instintivamente à plataforma como “X, anteriormente conhecido como Twitter” mais de dois anos depois. [27]
  • Essa matéria apontou que um dos últimos vestígios técnicos do Twitter — a URL twitter.com — estava finalmente sendo aposentada, com os logins redirecionando totalmente para x.com.

Agora, o próprio ato de enterrar o twitter.com trouxe a antiga marca de volta às manchetes, enquanto usuários reclamam que “o Twitter errou de novo” ao tentar corrigir os últimos traços de… Twitter. [28]

Para os críticos, esse incidente se encaixa em um padrão que eles destacam desde a aquisição por Musk: mudanças agressivas, de cima para baixo, implementadas em alta velocidade, com equipes de engenharia reduzidas e aparentemente poucas redes de segurança. Diversos veículos hoje enquadram explicitamente a queda como a mais recente de uma série de tropeços operacionais desde a aquisição de US$ 44 bilhões. [29]

Isso significa que passkeys e chaves de segurança são uma má ideia?

Resposta curta: não — mas é um alerta sobre como implementá-las.

Relatórios do BleepingComputer, The Verge e The Register enfatizam que chaves físicas e passkeys continuam sendo algumas das formas mais seguras de autenticação disponíveis atualmente. Elas reduzem drasticamente o risco de phishing porque só respondem no domínio exato para o qual foram registradas. [30]

O que deu errado aqui não foi a tecnologia subjacente. Foi:

  • Planejamento de migração mal conduzido (forçando o recadastramento contra um prazo rígido),
  • Um fluxo de recadastramento com bugs e sem alternativa confiável,
  • Comunicação fraca durante a queda, deixando os usuários depurarem falhas de segurança em público. [31]

Para outras plataformas que acompanham esse caso, a lição é clara:

Se você vai migrar milhões de usuários para um novo domínio com credenciais vinculadas a hardware, é preciso testes à prova de falhas, implementação gradual e caminhos robustos de recuperação.

FAQ: Interrupção da chave de segurança X, 13 de novembro de 2025

O que causou a interrupção de login do X?
Uma migração forçada de chaves de segurança e passkeys do domínio twitter.com para x.com, combinada com um fluxo de re-registro quebrado que prendeu usuários em loops de YubiKey/passkey e bloqueou o acesso às configurações da conta. [32]

Quem foi mais afetado?
Usuários que configuraram chaves de segurança de hardware ou passkeys para 2FA, especialmente aqueles cujas chaves foram originalmente registradas quando os logins ainda usavam twitter.com. Muitos deles ficaram temporariamente ou ainda estão completamente bloqueados. [33]

O problema já foi resolvido (13 de novembro de 2025)?
Relatos do Windows Central e Reddit mostram que muitos usuários conseguem fazer login novamente depois que o X aparentemente reverteu partes da mudança, mas outros continuam presos, e o X não publicou um post-mortem público detalhado. [34]

O X foi hackeado?
Não há evidências públicas de invasão ou vazamento de dados. O X e reportagens de segurança independentes atribuem o incidente a uma migração interna de chaves de segurança mal executada, não a um ataque externo. [35]

Devo desativar o 2FA na minha conta X?
Somente como último recurso. Desativar o 2FA torna sua conta muito mais fácil de ser comprometida. Se for necessário enfraquecer a segurança para recuperar o acesso, adicione um aplicativo autenticador ou chave reserva e ative o 2FA forte novamente assim que os sistemas do X se estabilizarem. [36]

Em 13 de novembro, a crise está lentamente se resolvendo, mas o dano à confiança dos usuários — e à já controversa mudança de marca do X — pode durar muito mais do que a própria interrupção.

How to fix Xbox not signing in to your account (check service status in Xbox assist) 0X87DD0033
Watch this video on YouTube.

References

1. www.creativebloq.com, 2. www.theverge.com, 3. www.theverge.com, 4. www.bleepingcomputer.com, 5. www.androidcentral.com, 6. www.reddit.com, 7. www.androidcentral.com, 8. www.techbuzz.ai, 9. www.newsbytesapp.com, 10. www.storyboard18.com, 11. www.techbuzz.ai, 12. techcrunch.com, 13. www.windowscentral.com, 14. www.reddit.com, 15. www.reddit.com, 16. www.newsbytesapp.com, 17. www.androidcentral.com, 18. www.theverge.com, 19. www.techbuzz.ai, 20. www.theregister.com, 21. www.theregister.com, 22. www.newsbytesapp.com, 23. www.bleepingcomputer.com, 24. www.androidcentral.com, 25. www.reddit.com, 26. www.bleepingcomputer.com, 27. www.creativebloq.com, 28. www.creativebloq.com, 29. www.techbuzz.ai, 30. www.bleepingcomputer.com, 31. www.techbuzz.ai, 32. www.newsbytesapp.com, 33. www.techbuzz.ai, 34. www.windowscentral.com, 35. www.theregister.com, 36. www.bleepingcomputer.com

Mateusz Brzeziński

Technology News

  • The point-and-shoot is back: choose models with large sensors or true optical zoom to beat smartphones
    November 14, 2025, 3:06 PM EST. Point-and-shoots are resurging as photographers seek photos that outshine smartphones. The key is not just more megapixels, but a larger sensor and genuine optical zoom. A bigger sensor captures more light, improving image quality and yielding natural background blur, especially in low-light or indoor scenes. Phones lock you into tiny sensors, while one-inch sensors (as in Sony RX100 VI/VII and Canon G7X series) or APS-C sensors (like the Fujifilm X100VI or Ricoh GR IV) dramatically boost detail and dynamic range. Lenses with optical zoom expand reach without digital crop. Beyond specs, rugged or nostalgic models-like the OM System Tough TG-7 or Instax Mini Evo-show that durability and fun still matter. Choose a large sensor or real optical zoom to beat a smartphone.
  • How ChatGPT and Gemini Think: Inside the Black Box of AI Language Models
    November 14, 2025, 3:04 PM EST. Behind chatbots like ChatGPT and Gemini lies a labyrinth of parameters and data, not a simple set of rules. These systems are powered by large language models that predict the next word, producing outputs that feel intelligent even when true understanding is elusive. Engineers barely trace which internal pathways generate a given answer, earning them the label of black boxes. Before speaking, models undergo data cleaning, human feedback and reinforcement learning from human feedback (RLHF) to steer tone and safety-teaching acceptable behavior rather than genuine reasoning. The data itself is a mix of public sources and licensed material, posing data opacity and bias challenges. The result is synthetic cognition: impressive, fast probability gymnastics that mimic understanding but rarely imply true comprehension.
  • Google eases Android verification rules to keep sideloading alive with an advanced flow
    November 14, 2025, 3:02 PM EST. Google is rolling out an advanced flow for Android app verification that aims to curb scammers while keeping sideloading accessible for power users. After criticism, the company said new safeguards will let users download apps from unverified developers only through a flow designed to resist coercion and include clear warnings about risks. The plan still enforces developer verification next year, but early access is now open in the Android Developer Console for apps distributed outside the Play Store. Google is also introducing a dedicated account type for students and hobbyists to distribute to a limited device set without full verification. The flow isn't final, as Google continues to gather feedback and refine warnings and restrictions.
  • Tesla stock falls amid tech sell-off as Musk's $1T pay package boosts AI bets
    November 14, 2025, 3:00 PM EST. Tesla shares slid about 7% on Thursday as the broader tech sell-off dragged the stock lower, down roughly 10% since shareholders approved Elon Musk's $1 trillion pay package. The move comes as analysts like Dan Ives of Wedbush remain bullish on Tesla's AI and autonomous ambitions, viewing the robotaxi push and the Optimus humanoid robots as the core long-term story. Ives has an Outperform rating and a $600 target, arguing Musk and Tesla will shape much of the autonomous landscape in coming years. Tesla is testing robotaxi service in Austin and the Bay Area, with plans to expand to more cities and to scale up Optimus production. Investors will watch how the AI strategy translates into deliveries and margins.
  • Disney+ Plans Game-Like Features Fueled by AI, Says Bob Iger
    November 14, 2025, 2:58 PM EST. Disney+ chief Bob Iger says AI and Disney's Epic Games stake will drive game-like features and richer UGC on the platform, linking streaming with other Disney assets. The plan positions Disney+ as a portal to all things Disney, spanning commerce, theme parks, hotels and cruises. Iger outlined three AI prongs-streaming tech, content post-production, and parks operations-and stressed opportunities to compete with Netflix through more interactive experiences. The move follows Disney's Pocket.watch deal for UGC and comes as the company reports mixed results while pursuing broader streaming carriage talks with YouTube TV.