Con un comunicato che è stato diffuso online nelle scorse ore Twitter ha confermato che criminali informatici al momento sconosciuti sono riusciti a raccogliere dati personali di alcuni utenti iscritti alla piattaforma social.
La società non ha rivelato il numero di account coinvolti: sono però gli stessi aggressori a indicarlo. Si tratta di oltre 5,4 milioni di utenti su un totale di 329 milioni di iscritti a Twitter (fonte: Statista).
A dicembre 2021 un gruppo hacker dichiarava di essere riuscito a raccogliere i dati personali di milioni di utenti Twitter sfruttando una vulnerabilità zero-day. Facendo leva sulla lacuna di sicurezza in questione, gli aggressioni hanno potuto interrogare Twitter inviando una lunga lista di numeri di telefono e indirizzi email. I server del social network hanno risposto, per ciascuna interrogazione, indicando se il numero di telefono o l’email trasmessa erano associati a uno specifico account.
A questo punto è stato facile comporre un database contenente il nome corrispondente all’account Twitter, il numero di follower, informazioni di geolocalizzazione, indirizzo dell’immagine usata per il profilo e così via.
Il file prodotto in seguito alla sottrazione dei dati e alla pesante attività di scraping svolta sulle pagine di Twitter è stato posto in commercio, nel mercato nero, al prezzo di 30.000 dollari. Stando a quanto riportato, gli stessi dati potrebbero essere presto resi di pubblico dominio.
Un po’ come accaduto nel caso di una simile raccolta di dati che aveva interessato ben 100 milioni di account Facebook, anche il database relativo a Twitter contiene nomi di normali cittadini ma anche personaggi famosi e personalità di primo piano.
Avevamo sottolineato che in seguito all’incidente occorso a Facebook furono create delle pagine bianche con i numeri di cellulare degli italiani utenti di WhatsApp.
Twitter ha fatto presente di aver iniziato una campagna informativa contattando ogni singolo utente interessato dalla problematica emersa da dicembre 2021. Il social network ha comunque voluto precisare che tra i dati rastrellati non ci sono le password dei singoli account: l’aggressione non è infatti avvenuta lato server e ha sfruttato una “leggerezza” che ha permesso di semplificare la raccolta di dati su larga scala. La vulnerabilità è stata inoltre risolta a gennaio 2022 da parte dei tecnici di Twitter.