Gli hacker sono riusciti a rubare i dettagli degli account di oltre 200 milioni di utenti Twitter(nuova finestra) e hanno pubblicato il database su un forum di hacking all’inizio di gennaio 2023. Questi dettagli includono gli indirizzi email e i nomi utente di Twitter, consentendo alle persone di identificare potenzialmente gli account pseudonimi.
Gli esperti ritengono che questa lista sia una versione raffinata di un database simile riportato a dicembre 2022 che conteneva circa 400 milioni di nomi Twitter(nuova finestra) e email associate e numeri di telefono.
Mentre Twitter ha negato che questi dettagli dell’account siano stati rubati(nuova finestra) “sfruttando una vulnerabilità dei [suoi] sistemi”, Troy Hunt, il creatore di haveibeenpwned.com, il sito web che ti consente di vedere se i tuoi dati sono stati compromessi in una violazione, ha sottolineato che sembra una non-smentita formulata con attenzione:
Twitter sta ora affrontando una class action(nuova finestra) per il suo rifiuto di riconoscere questo incidente come una violazione.
Il Sig. Hunt ha anche riportato che gli indirizzi email presuntivamente associati alla violazione sembrano legittimi.
Sembra probabile che questi dettagli degli account siano stati ottenuti sfruttando un difetto dell’API che Twitter ha riconosciuto ad agosto 2022(nuova finestra). L’azienda è stata informata nel gennaio 2022 che aveva introdotto un bug in un aggiornamento di giugno 2021 che avrebbe permesso a chiunque inserisse un numero di telefono o un’email di vedere quale fosse il nome utente corrispondente di Twitter (se esistente).
A quel tempo, Twitter affermava che la violazione aveva esposto circa 5,4 milioni di nomi utente Twitter(nuova finestra) e le loro email e numeri di telefono corrispondenti.
Come potrebbe questa violazione influenzarti?
Non ci sono prove che gli hacker abbiano avuto accesso alle password o ai DM degli utenti. Tuttavia, gli attaccanti possono ora collegare indirizzi email e numeri di telefono pubblicamente noti agli account Twitter, consentendo di identificare e fare doxxing agli utenti di Twitter. Questo permetterà anche di scrivere attacchi di phishing molto più convincenti.
Durante l’indagine sulla violazione, il Sig. Hunt ha scoperto che il 98% delle email nel database di Twitter erano già state esposte(nuova finestra) in un’altra violazione di dati. Gli hacker hanno semplicemente prelevato gli indirizzi email esposti e li hanno utilizzati in Twitter per aggiungere un altro punto di dati ai database criminali in continua crescita.
Come recuperare dalla violazione dei dati di Twitter
La prima cosa che puoi fare è andare su haveibeenpwned.com(nuova finestra) per vedere se il tuo indirizzo email o numero di telefono è stato esposto nella violazione. Se nessuno dei due appare, probabilmente non hai nulla di cui preoccuparti.
Se il tuo email appare, dovresti rimuoverlo dal tuo account Twitter e da qualsiasi altro account che usi. Dovresti anche aspettarti un aumento nel volume e nella qualità delle email di phishing che ricevi.
Se il tuo numero di telefono appare, dovresti scollegarlo dal tuo account Twitter e da qualsiasi altro accountche usi. Potresti anche ricevere chiamate e messaggi di testo dannosi (smishing) che cercano di ingannarti per esporre informazioni sensibili.
Anche se il tuo numero di telefono non appare nel database Have I Been Pwned, se stai usando il tuo numero di telefono per un autenticazione a due fattori (2FA), dovresti smettere. L’autenticazione a due fattori via SMS è insicura e dovresti passare a qualcosa di più sicuro, come un’app per password monouso basata su tempo o una chiave di sicurezza hardware.
Come proteggerti da future violazioni
Sebbene non puoi prevenire le violazioni dei dati, puoi ridurre la tua vulnerabilità alle violazioni dei dati in generale. I seguenti passaggi impediranno agli hacker di mettere le mani su informazioni veramente sensibili o di poter usare i dati rubati per accedere ai tuoi altri account:
- Attiva l’autenticazione a due fattori su ogni account possibile. Questo impedisce agli hacker di poter accedere al tuo account anche se hanno la tua password e email. Può essere una cruciale ultima linea di difesa.
- Usa password forti e uniche per ogni account. Se usi una password diversa per ogni account, una violazione non potrà mai influenzare più di quell’account, limitando i potenziali danni e il tempo di recupero. Dovresti anche usare un gestore di password sicuro e open-source per tenere traccia di tutte le tue password.
- Usa un’email unica per ogni account. Usando la stessa logica delle password uniche, gli hacker non possono identificare i tuoi account o seguirti su diversi piattaforme se crei un’email unica per ogni account. SimpleLogin di Proton Mail(nuova finestra) rende semplice creare e gestire dozzine di email alias. Se hai usato SimpleLogin per creare un alias per il tuo account Twitter, non saresti a rischio di essere identificato e potresti facilmente disattivare quell’alias per evitare attacchi di phishing.
- Non condividere informazioni sensibili (quando puoi evitarlo). È tempo di essere reali e ammettere che c’è una buona possibilità che qualsiasi cosa tu condivida con un’azienda online possa finire esposta a un certo punto. Ma un’azienda non può esporre qualcosa in una violazione che non hai mai fornito in primo luogo. Quando possibile, evita di condividere qualcosa di più di un pseudonimo e di un’email alias quando crei un account.
Questi passaggi aiuteranno a ridurre la tua esposizione a potenziali violazioni. Sfortunatamente, ci sono molto poche cose che puoi fare per proteggere informazioni che le organizzazioni già possiedono, ed è per questo che ti consigliamo di usare solo organizzazioni con buoni storici di sicurezza. Questo diventa più difficile ogni anno man mano che sempre più aziende subiscono violazioni e attacchi. Tuttavia, dovresti cercare organizzazioni che utilizzino codice open-source e abbiano una community attiva di contributori di sicurezza. Questo dimostra che queste aziende danno priorità alla sicurezza dei dati e sono disposte a affrontare la scrutini degli esperti per mantenere al sicuro le tue informazioni.
Puoi anche spingere i governi a far rispettare le leggi sulla privacy dei dati e punire le violazioni dei dati. Twitter è ancora sotto un decreto di consenso(nuova finestra) per violazioni dei dati del 2011. Avrebbe dovuto rilevare che gli account utente stavano venendo estratti e risolvere il problema più rapidamente. Sfortunatamente, le violazioni dei dati continueranno a verificarsi finché non saranno rese troppo costose da ignorare.
