A dicembre 2021 un gruppo hacker annunciò di aver composto un database contenente i dati di circa 5,4 milioni di utenti iscritti a Twitter. Le informazioni altrui sarebbero state sottratte sfruttando una vulnerabilità di Twitter, fino ad allora sconosciuta anche ai tecnici della società oggi di proprietà di Elon Musk.
Le API (Application Programming Interface) di Twitter soffrivano di una grave lacuna di sicurezza, risolta a gennaio 2022 dalla società, che consentiva a sviluppatori non autorizzati di recuperare informazioni personali legati agli account fuori dal proprio diretto controllo.
Si pensava che la raccolta di dati non autorizzata fosse limitata ai 5,4 milioni di account. Invece su uno dei più noti forum hacker, accessibili anche tramite indirizzo Onion (rete Tor), un utente sconosciuto afferma di essere in possesso dei dati di 400 milioni di account Twitter, la totalità degli iscritti alla piattaforma social.
Gli aggressori avrebbero fatto leva sulla stessa vulnerabilità a livello di API risolta da Twitter a gennaio scorso. Il bug in questione ha permesso di passare all’API un ampio quantitativo di numeri di telefono e indirizzi email ricevendo in risposta il corrispondente ID Twitter.
Combinando i dati privati e quelli pubblici raccolti dai profili degli utenti, è stato possibile ricostruire i vari profili utente.
Come si spiega nel post, per ogni utente Twitter il database contiene in chiaro i seguenti dati: nome e cognome, nome utente, indirizzo email, numero di telefono, numero di follower, data di creazione dell’account.
Le informazioni su tutti gli utenti registrati a Twitter sono state messe illecitamente in vendita per la somma di 200mila dollari. L’autore dell’operazione sostiene di essere già in trattativa con un potenziale acquirente (o forse con Twitter stessa) e che se l’accordo non dovesse andare in porto venderà i dati in blocchi al prezzo di 60mila dollari ciascuno.
“Twitter o Elon Musk: se state leggendo questo articolo state già rischiando una multa sulla base del GDPR“, ha scritto l’hacker sul forum. “La vostra migliore opzione per evitare di pagare 265 milioni di euro di multa come ha fatto Facebook (a causa dello scraping di 533 milioni di utenti) è acquistare questi dati in esclusiva“. L’hacker si riferisce alla sanzione comminata a Meta per non aver impedito l’azione di web scraping ai danni dei suoi utenti.
Al momento non è possibile verificare l’attendibilità dei 400 milioni di record ma alcune indagini indipendenti hanno confermato la veridicità delle dichiarazioni apparse sul forum hacker.
Nel frattempo, il Garante Privacy irlandese informa di aver aperto un fascicolo sulla vicenda dei 5,4 milioni di account Twitter: il provvedimento ancora non tiene conto delle ultime novità.
Cosa fare per difendersi
L’ex responsabile della sicurezza, Peiter Zatko, aveva lanciate pesanti accuse su Twitter alle quali la società, attraverso i suoi portavoce, aveva risposto duramente.
Eppure Twitter si trova ancora una volta a fare i conti con un incidente tutt’altro che banale. È pur vero che i dati non contengono password o informazioni sensibili ma indirizzi email e numeri di telefono possono essere facilmente utilizzati per sferrare attacchi phishing e lanciare campagne smishing molto efficaci.
Anche su Twitter è quindi sempre bene attivare e usare l’autenticazione a due fattori optando per la conferma dell’accesso tramite app anziché via SMS, modalità considerata poco sicura e fonte di potenziali problemi per gli utenti.