Successivo
Twitter

Security

Twitter, rubati i dati di 8 account non verificati (update)

Luca Colantuoni | 20 Luglio 2020

Sicurezza Twitter

Durante l’attacco contro Twitter sono stati scaricati i dati personali di 8 account non verificati, tra cui i messaggi diretti che non sono protetti dalla crittografia.

Aggiornamento del 23 luglio: Twitter ha comunicato che i cybercriminali hanno avuto accesso ai messaggi diretti di 36 account, uno dei quali è un politico olandese.

Twitter ha pubblicato un resoconto dettagliato sull’attacco informatico subito il 15 luglio. Alle informazioni comunicate tramite l’account @TwitterSupport, l’azienda californiana ha aggiunto ulteriori dettagli. I cybercriminali hanno scaricato i dati di 8 account non verificati, quindi sono riusciti ad accedere anche ai messaggi diretti.

Twitter conferma che l’accesso ai tool interni è stato ottenuto attraverso un attacco di ingegneria sociale. Alcuni dipendenti sono caduti nella trappola, svelando le loro credenziali che gli autori dell’hack hanno utilizzato per prendere il controllo di circa 130 account, inclusi quelli di alcuni personaggi famosi (Elon Musk, Bill Gates, Barack Obama e altri). Per 45 account è stato effettuato il reset della password, mentre per 8 account sono stati scaricati i dati mediante l’apposito tool.

L’archivio contiene molte informazioni personali: dati del profilo, tweet, messaggi diretti, momenti, contenuti multimediali (immagini, video e GIF), elenco dei follower, elenco degli account seguiti, rubrica, liste, informazioni demografiche e relative agli interessi. Nessuno degli 8 account è verificato, quindi i dati non appartengono ad utenti di alto profilo, come Joe Biden (candidato democratico alla presidenza degli Stati Uniti).

Il problema principale è rappresentato dai messaggi diretti (DM), in quanto la funzionalità può essere utilizzata per scambiare informazioni sensibili. Purtroppo i DM sono in chiaro, per cui possono letti dai dipendenti di Twitter o dai cybercriminali e dalle forze dell’ordine. La Electronic Frontier Foundation (EFF) ha chiesto di applicare la crittografia end-to-end ai messaggi diretti, sottolineando che il CEO Jack Dorsey aveva promesso il lancio della funzionalità quasi due anni fa.

Nel comunicato ufficiale sono elencati i passi che verranno attuati nelle prossime settimane, tra cui un miglioramento della sicurezza per prevenire futuri attacchi, ma non c’è nessun riferimento alla crittografia end-to-end.