Aggiornamento del 23 luglio: Twitter ha comunicato che i cybercriminali hanno avuto accesso ai messaggi diretti di 36 account, uno dei quali è un politico olandese.
We believe that for up to 36 of the 130 targeted accounts, the attackers accessed the DM inbox, including 1 elected official in the Netherlands. To date, we have no indication that any other former or current elected official had their DMs accessed.
— Twitter Support (@TwitterSupport) July 22, 2020
Twitter ha pubblicato un resoconto dettagliato sull’attacco informatico subito il 15 luglio. Alle informazioni comunicate tramite l’account @TwitterSupport, l’azienda californiana ha aggiunto ulteriori dettagli. I cybercriminali hanno scaricato i dati di 8 account non verificati, quindi sono riusciti ad accedere anche ai messaggi diretti.
Twitter conferma che l’accesso ai tool interni è stato ottenuto attraverso un attacco di ingegneria sociale. Alcuni dipendenti sono caduti nella trappola, svelando le loro credenziali che gli autori dell’hack hanno utilizzato per prendere il controllo di circa 130 account, inclusi quelli di alcuni personaggi famosi (Elon Musk, Bill Gates, Barack Obama e altri). Per 45 account è stato effettuato il reset della password, mentre per 8 account sono stati scaricati i dati mediante l’apposito tool.
For up to eight of the Twitter accounts involved, the attackers took the additional step of downloading the account’s information through our “Your Twitter Data” tool. We are reaching out directly to any account owner where we know this to be true.
— Twitter Support (@TwitterSupport) July 18, 2020
L’archivio contiene molte informazioni personali: dati del profilo, tweet, messaggi diretti, momenti, contenuti multimediali (immagini, video e GIF), elenco dei follower, elenco degli account seguiti, rubrica, liste, informazioni demografiche e relative agli interessi. Nessuno degli 8 account è verificato, quindi i dati non appartengono ad utenti di alto profilo, come Joe Biden (candidato democratico alla presidenza degli Stati Uniti).
There is a lot speculation about the identity of these 8 accounts. We will only disclose this to the impacted accounts, however to address some of the speculation: none of the eight were Verified accounts.
— Twitter Support (@TwitterSupport) July 18, 2020
Il problema principale è rappresentato dai messaggi diretti (DM), in quanto la funzionalità può essere utilizzata per scambiare informazioni sensibili. Purtroppo i DM sono in chiaro, per cui possono letti dai dipendenti di Twitter o dai cybercriminali e dalle forze dell’ordine. La Electronic Frontier Foundation (EFF) ha chiesto di applicare la crittografia end-to-end ai messaggi diretti, sottolineando che il CEO Jack Dorsey aveva promesso il lancio della funzionalità quasi due anni fa.
Nel comunicato ufficiale sono elencati i passi che verranno attuati nelle prossime settimane, tra cui un miglioramento della sicurezza per prevenire futuri attacchi, ma non c’è nessun riferimento alla crittografia end-to-end.