La storia dell'account Twitter da 50.000 dollari rubato

È davvero emblematico quanto accaduto a Naoki Hiroshima, tecnico e sviluppatore informatico, “proprietario” di un account Twitter considerato di grande valore.
Pochi sanno che agli albori di Twitter, poco dopo il lancio del social network, per gli utenti più rapidi fu possibile registrare account composti da una sola lettera. Hiroshima, ad esempio, richiese per sé @N attivandolo nel 2007 e mantenendolo fino ad oggi.
Il tecnico giapponese spiega di aver ricevuto, nel corso degli anni, diverse offerte di “acquisizione” del suo account da parte di terzi: più volte gli sarebbero pervenute offerte da 50.000 dollari, sempre rifiutate.

Oltre alle legittime proposte di acquisto, il suo account è stato più volte bersaglio di tentativi d’attacco posti in essere con l’intento di sottrarre le sue credenziali d’accesso personali. Hiroshima ha rilevato che tutte le precedenti aggressioni hanno sempre fallito, fino a qualche giorno fa.

Un malintenzionato, la cui identità è al momento sconosciuta, è infatti riuscito a prendere possesso dell’account Twitter @N di Hiroshima ponendo in essere una serie di manovre, intelligentemente orchestrate, basate su tecniche di ingegneria sociale.
In un lungo post dal titolo “ecco come ho perso il mio account Twitter da 50.000 dollari“, pubblicato a questo indirizzo, Hiroshima spiega per filo e per segno l’accaduto.

L’aggressore è riuscito nell’intento chiamando per telefono il supporto tecnico di PayPal ed “utilizzando alcune semplici tecniche di ingegneria sociale” per recuperare le ultime quattro cifre della carta di credito di Hiroshima. Le stesse cifre sono state poi comunicate, ancora una volta telefonicamente, al supporto di GoDaddy (uno dei più famosi provider statunitensi) per richiedere la reimpostazione delle credenziali d’accesso.
Perché GoDaddy? Perché l’account e-mail associato al profilo Twitter di Hiroshima era proprio un indirizzo di posta gestito da GoDaddy.
Grazie a queste operazioni, il malintenzionato è riuscito a modificare la password di Twitter ed a prendere possesso dell’altrui account.

Hiroshima ha aspramente criticato il comportamento di PayPal e GoDaddy: “alcune società utilizzano ancora oggi una politica inaccettabile ossia quella di rivelare alcune informazioni personali per via telefonica, tra queste le ultime cifre della carta di credito. Non lasciate che PayPal e GoDaddy conservino i dati delle vostre carte di credito: io ha appena rimosso i miei“, ha dichiarato Hiroshima.

I consigli migliori per evitare problemi sono:
– evitare di utilizzare le stesse password per più servizi differenti
– usare password sufficientemente lunghe e complesse
– attivare l’autenticazione a due fattori almeno sui servizi più importanti
– porre massima attenzione alla cosiddetta “domanda segreta”. Evitare di fornire risposte banali, facilmente indovinabili da parte di un aggressore (vedere anche Facebook username e password: come vengono rubati, come difendersi)
– non cambiare troppo spesso la password. È meglio sceglierne una “forte” e non cambiarla mai, come sostiene lo stesso Bruce Schneier.
– associare ad account Twitter e Facebook account di posta che non permettono il reset semplice della password (ad esempio per via telefonica).

Hiroshima è poi riuscito, attraverso il supporto tecnico di Twitter, a riottenere possesso dell’account “trafugato”.