Proton

Gli hacker sono riusciti a rubare i dettagli degli account di oltre 200 milioni di utenti Twitter(nuova finestra) e hanno pubblicato il database su un forum di hacking all’inizio di gennaio 2023. Questi dettagli includono gli indirizzi email e i nomi utente di Twitter, consentendo alle persone di identificare potenzialmente gli account pseudonimi. 

Gli esperti ritengono che questa lista sia una versione raffinata di un database simile riportato a dicembre 2022 che conteneva circa 400 milioni di nomi Twitter(nuova finestra) e email associate e numeri di telefono.

Mentre Twitter ha negato che questi dettagli dell’account siano stati rubati(nuova finestra) “sfruttando una vulnerabilità dei [suoi] sistemi”, Troy Hunt, il creatore di haveibeenpwned.com, il sito web che ti consente di vedere se i tuoi dati sono stati compromessi in una violazione, ha sottolineato che sembra una non-smentita formulata con attenzione: 

Twitter sta ora affrontando una class action(nuova finestra) per il suo rifiuto di riconoscere questo incidente come una violazione.

Il Sig. Hunt ha anche riportato che gli indirizzi email presuntivamente associati alla violazione sembrano legittimi.

Sembra probabile che questi dettagli degli account siano stati ottenuti sfruttando un difetto dell’API che Twitter ha riconosciuto ad agosto 2022(nuova finestra). L’azienda è stata informata nel gennaio 2022 che aveva introdotto un bug in un aggiornamento di giugno 2021 che avrebbe permesso a chiunque inserisse un numero di telefono o un’email di vedere quale fosse il nome utente corrispondente di Twitter (se esistente). 

A quel tempo, Twitter affermava che la violazione aveva esposto circa 5,4 milioni di nomi utente Twitter(nuova finestra) e le loro email e numeri di telefono corrispondenti. 

Come potrebbe questa violazione influenzarti?

Non ci sono prove che gli hacker abbiano avuto accesso alle password o ai DM degli utenti. Tuttavia, gli attaccanti possono ora collegare indirizzi email e numeri di telefono pubblicamente noti agli account Twitter, consentendo di identificare e fare doxxing agli utenti di Twitter. Questo permetterà anche di scrivere attacchi di phishing molto più convincenti.  

Durante l’indagine sulla violazione, il Sig. Hunt ha scoperto che il 98% delle email nel database di Twitter erano già state esposte(nuova finestra) in un’altra violazione di dati. Gli hacker hanno semplicemente prelevato gli indirizzi email esposti e li hanno utilizzati in Twitter per aggiungere un altro punto di dati ai database criminali in continua crescita. 

Come recuperare dalla violazione dei dati di Twitter

La prima cosa che puoi fare è andare su haveibeenpwned.com(nuova finestra) per vedere se il tuo indirizzo email o numero di telefono è stato esposto nella violazione. Se nessuno dei due appare, probabilmente non hai nulla di cui preoccuparti.

Se il tuo email appare, dovresti rimuoverlo dal tuo account Twitter e da qualsiasi altro account che usi. Dovresti anche aspettarti un aumento nel volume e nella qualità delle email di phishing che ricevi. 

Se il tuo numero di telefono appare, dovresti scollegarlo dal tuo account Twitter e da qualsiasi altro accountche usi. Potresti anche ricevere chiamate e messaggi di testo dannosi (smishing) che cercano di ingannarti per esporre informazioni sensibili. 

Anche se il tuo numero di telefono non appare nel database Have I Been Pwned, se stai usando il tuo numero di telefono per un autenticazione a due fattori (2FA), dovresti smettere. L’autenticazione a due fattori via SMS è insicura e dovresti passare a qualcosa di più sicuro, come un’app per password monouso basata su tempo o una chiave di sicurezza hardware.  

Come proteggerti da future violazioni

Sebbene non puoi prevenire le violazioni dei dati, puoi ridurre la tua vulnerabilità alle violazioni dei dati in generale. I seguenti passaggi impediranno agli hacker di mettere le mani su informazioni veramente sensibili o di poter usare i dati rubati per accedere ai tuoi altri account:

  1. Attiva l’autenticazione a due fattori su ogni account possibile. Questo impedisce agli hacker di poter accedere al tuo account anche se hanno la tua password e email. Può essere una cruciale ultima linea di difesa.
  2. Usa password forti e uniche per ogni account. Se usi una password diversa per ogni account, una violazione non potrà mai influenzare più di quell’account, limitando i potenziali danni e il tempo di recupero. Dovresti anche usare un gestore di password sicuro e open-source per tenere traccia di tutte le tue password. 
  3. Usa un’email unica per ogni account. Usando la stessa logica delle password uniche, gli hacker non possono identificare i tuoi account o seguirti su diversi piattaforme se crei un’email unica per ogni account. SimpleLogin di Proton Mail(nuova finestra) rende semplice creare e gestire dozzine di email alias. Se hai usato SimpleLogin per creare un alias per il tuo account Twitter, non saresti a rischio di essere identificato e potresti facilmente disattivare quell’alias per evitare attacchi di phishing. 
  4. Non condividere informazioni sensibili (quando puoi evitarlo). È tempo di essere reali e ammettere che c’è una buona possibilità che qualsiasi cosa tu condivida con un’azienda online possa finire esposta a un certo punto. Ma un’azienda non può esporre qualcosa in una violazione che non hai mai fornito in primo luogo. Quando possibile, evita di condividere qualcosa di più di un pseudonimo e di un’email alias quando crei un account. 

Questi passaggi aiuteranno a ridurre la tua esposizione a potenziali violazioni. Sfortunatamente, ci sono molto poche cose che puoi fare per proteggere informazioni che le organizzazioni già possiedono, ed è per questo che ti consigliamo di usare solo organizzazioni con buoni storici di sicurezza. Questo diventa più difficile ogni anno man mano che sempre più aziende subiscono violazioni e attacchi. Tuttavia, dovresti cercare organizzazioni che utilizzino codice open-source e abbiano una community attiva di contributori di sicurezza. Questo dimostra che queste aziende danno priorità alla sicurezza dei dati e sono disposte a affrontare la scrutini degli esperti per mantenere al sicuro le tue informazioni.

Puoi anche spingere i governi a far rispettare le leggi sulla privacy dei dati e punire le violazioni dei dati. Twitter è ancora sotto un decreto di consenso(nuova finestra) per violazioni dei dati del 2011. Avrebbe dovuto rilevare che gli account utente stavano venendo estratti e risolvere il problema più rapidamente. Sfortunatamente, le violazioni dei dati continueranno a verificarsi finché non saranno rese troppo costose da ignorare.

Articoli correlati

A phone screen with a speech bubble with a phone number in it
en
Your email address and passwords aren't the only information hackers can use to scam you. Here's what someone can do with your phone number — and how to protect it.
A web application screen with an unlock icon in the bottom right corner
en
Your best defense against a data breach could be improving your web application security: Find out how Proton Pass can help.
Investigative journalist Vegas Tenold explains the gear he uses to protect his privacy and stay safe.
en
  • News sulla privacy
Follow investigative journalist Vegas Tenold as he explains his gear and how it keeps him safe from surveillance as he works in the field.
Coinbase, the largest Bitcoin exchange in the US, suffered a data breach
en
  • News sulla privacy
  • Proton Wallet
Coinbase employees sold sensitive personal information to attackers, including government IDs and BTC transaction history. Proton Wallet is built to avoid these risks.
Whistleblower's whistle. Journalists must use secure channels to communicate with whistleblowers.
en
Whistleblowers risk everything to expose the truth. This guide helps journalists keep their sources safe using secure tools like Proton Mail, Signal, and SecureDrop.
An image showing a phone screen with a child icon and three icons with '17+' '8-12' and '3-5' to indicate age ratings
en
  • Guide sulla privacy
Parents can help their children develop healthy screen habits by learning about dark design patterns — Proton investigates how