Gli hacker sono riusciti a rubare i dettagli degli account di oltre 200 milioni di utenti Twitter(new window) e hanno pubblicato il database su un forum di hacking all’inizio di gennaio 2023. Questi dettagli includono indirizzi email e nomi utente Twitter, permettendo potenzialmente di identificare account Twitter pseudonimi.
Gli esperti credono che questa lista sia una versione raffinata di un database simile che è stato segnalato a dicembre 2022 che conteneva circa 400 milioni di nomi utente Twitter(new window) e relativi email e numeri di telefono.
Mentre Twitter negava che questi dettagli degli account fossero stati rubati(new window) “sfruttando una vulnerabilità dei [suoi] sistemi”, Troy Hunt, il creatore di haveibeenpwned.com, il sito web che ti permette di vedere se i tuoi dati sono stati esposti in un attacco, ha sottolineato che sembra una negazione formulata con attenzione:
Twitter ora sta affrontando una causa collettiva(new window) per il suo rifiuto di riconoscere questo incidente come un attacco.
Il signor Hunt ha anche riferito che gli account email presumibilmente dall’attacco sembrano legittimi.
Sembra probabile che questi dettagli degli account siano stati ottenuti sfruttando un difetto dell’API che Twitter ha riconosciuto nell’agosto 2022(new window). L’azienda è stata informata nel gennaio 2022 che aveva introdotto un bug in un aggiornamento nel giugno 2021 che avrebbe permesso a chiunque inserisse un numero di telefono o un indirizzo email di vedere quale fosse il corrispondente nome utente Twitter (se esistente).
All’epoca, Twitter ha affermato che l’attacco ha esposto circa 5,4 milioni di nomi utente Twitter(new window) e le loro corrispondenti email e numeri di telefono.
Come potrebbe influenzarti questo attacco?
Non ci sono prove che gli hacker abbiano avuto accesso alle password o ai DM degli utenti. Tuttavia, gli aggressori possono ora collegare indirizzi email e numeri di telefono noti pubblicamente agli account Twitter, potenzialmente permettendo loro di identificare e doxxare gli utenti Twitter. Questo permetterà anche loro di scrivere attacchi di phishing molto più convincenti.
Durante l’indagine sulla violazione, il signor Hunt ha scoperto che il 98% delle email contenute nel database di Twitter erano già state esposte(new window) in un’altra violazione dei dati. Gli hacker hanno semplicemente preso gli indirizzi email esposti e li hanno inseriti in Twitter per aggiungere un altro punto dati ai database criminali in continua crescita.
Come recuperare dall’attacco ai dati di Twitter
La prima cosa che puoi fare è andare su haveibeenpwned.com(new window) per vedere se il tuo indirizzo email o numero di telefono è stato esposto nell’attacco. Se non appare nessuno dei due, probabilmente non hai nulla di cui preoccuparti.
Se appare il tuo indirizzo email, dovresti rimuoverlo dal tuo account Twitter e da qualsiasi altro account in cui lo utilizzi. Dovresti anche aspettarti un aumento nel volume e nella qualità delle email di phishing che ricevi.
Se appare il tuo numero di telefono, dovresti scollegarlo dal tuo account Twitter e da qualsiasi altro account in cui lo utilizzi. Potresti anche ricevere chiamate e messaggi di testo (smishing) malevoli che cercano di ingannarti per esporre informazioni sensibili.
Anche se il tuo numero di telefono non appare nel database di Have I Been Pwned, se stai utilizzando il tuo numero di telefono per l’autenticazione a due fattori (2FA), dovresti smettere. L’autenticazione a due fattori tramite SMS non è sicura e dovresti passare a qualcosa di più sicuro, come un’app per password monouso basata sul tempo o una chiave di sicurezza hardware.
Come proteggerti dai futuri attacchi
Anche se non puoi prevenire gli attacchi ai dati da solo, puoi ridurre la tua vulnerabilità agli attacchi in generale. I seguenti passaggi impediranno agli hacker di mettere le mani su informazioni veramente sensibili o di utilizzare i dati che hanno rubato per accedere ai tuoi altri account:
- Attiva l’autenticazione a due fattori su ogni account possibile. Questo impedisce agli hacker di accedere al tuo account anche se possiedono la tua password e la tua email. Può essere una cruciale ultima linea di difesa.
- Usa password forti e uniche per ogni account. Se utilizzi una password diversa per ogni account, una violazione non potrà mai influenzare più di quell’account, limitando i potenziali danni e il tempo di recupero. Dovresti anche utilizzare un gestore di password sicuro e open source per tenere traccia di tutte le tue password.
- Usa un alias email unico per ogni account. Usando la stessa logica delle password uniche, gli hacker non possono identificare i tuoi account o tracciarti attraverso le piattaforme se crei un alias email unico per ogni account. SimpleLogin di Proton Mail(new window) rende semplice creare e gestire decine di alias email. Se hai usato SimpleLogin per creare un alias per il tuo account Twitter, non rischierai di essere identificato e potrai facilmente disattivare quell’alias per evitare attacchi di phishing.
- Non condividere informazioni sensibili (quando puoi evitarlo). È il momento di essere realisti e ammettere che c’è una buona possibilità che qualsiasi cosa tu condivida con un’azienda online possa finire per essere esposta in qualche momento. Ma un’azienda non può esporre qualcosa in una violazione che non le hai mai fornito in primo luogo. Quando possibile, evita di condividere più di un pseudonimo e un alias email quando crei un account.
Questi passaggi aiuteranno a ridurre la tua esposizione a potenziali violazioni. Sfortunatamente, c’è ben poco che puoi fare per proteggere le informazioni che le organizzazioni hanno già, ed è per questo che ti consigliamo di usare solo organizzazioni con buoni precedenti in fatto di sicurezza. Questo diventa più difficile ogni anno poiché sempre più aziende subiscono violazioni e attacchi informatici. Tuttavia, dovresti cercare organizzazioni che utilizzano codice open source e che hanno una comunità attiva di contributori alla sicurezza. Questo dimostra che queste aziende danno priorità alla sicurezza dei dati e sono disposte ad affrontare il controllo degli esperti per mantenere al sicuro le tue informazioni.
Puoi anche spingere i governi a far rispettare le leggi sulla privacy dei dati e a punire le violazioni dei dati. Twitter è ancora sotto un decreto di consenso(new window) per violazioni dei dati del 2011. Avrebbe dovuto rilevare che gli account degli utenti venivano raccolti e risolvere il problema più velocemente. Purtroppo, le violazioni dei dati continueranno a verificarsi finché non saranno rese troppo costose per essere ignorate.
