Circa 55.000 credenziali di accesso per altrettanti account Twitter sono apparsi nelle scorse ore su Pastebin, sito web molto noto a livello mondiale che consente agli utenti di tutto il mondo, anche senza operare alcun tipo di registrazione, di inviare e pubblicare porzioni di testo di qualunque genere. L’autore dell’azione dimostrativa si è qualificato come un membro del gruppo di “hacktivisti” di Anonymous.
Analizzando gli elenchi di nomi utente e password che sono stati resi pubblici, comunque, è facile verificare come alcuni di essi siano doppioni; altri, come confermato dai portavoce di Twitter, fanno riferimento ad account bloccati od associati ad attività di spam.
Le password associate ai vari username, inoltre, sembrano non essere semplici da individuare, ad esempio, con attacchi di tipo brute force (contengono combinazioni di caratteri alfanumerici e nessun termine “da dizionario”).
Intorno alla vicenda permane quindi ancora, almeno per il momento, una densa cortina fumogena. Non è chiaro in che modo le credenziali d’accesso possano essere state sottratte e va verificata quale possa essere la reale portata dell’aggressione.
Anche perché alcuni fanno notare come almeno una parte delle credenziali d’accesso esposte ai quattro venti sembri essere una sorta di copia&incolla delle password rastrellate all’incirca un anno fa durante un’azione posta in essere dai membri del gruppo LulzSec.
I tecnici di Twitter si sono per il momento limitati a dichiarare che sono in corso delle indagini sulle cause dell’incidente. I proprietari degli account presi di mira sarebbero già stati informati privatamente con un messaggio che invita alla tempestiva sostituzione della password utilizzata.
Xeni Jardin, su BoingBoing, ha pubblicato i link facenti riferimento ai cinque post apparsi su Pastebin che riportano il lungo elenco di password “rubate”.