Proton

Gli hacker sono riusciti a rubare i dettagli degli account di oltre 200 milioni di utenti Twitter(nuova finestra) e hanno pubblicato il database su un forum di hacking all’inizio di gennaio 2023. Questi dettagli includono gli indirizzi email e i nomi utente di Twitter, consentendo alle persone di identificare potenzialmente gli account pseudonimi. 

Gli esperti ritengono che questa lista sia una versione raffinata di un database simile riportato a dicembre 2022 che conteneva circa 400 milioni di nomi Twitter(nuova finestra) e email associate e numeri di telefono.

Mentre Twitter ha negato che questi dettagli dell’account siano stati rubati(nuova finestra) “sfruttando una vulnerabilità dei [suoi] sistemi”, Troy Hunt, il creatore di haveibeenpwned.com, il sito web che ti consente di vedere se i tuoi dati sono stati compromessi in una violazione, ha sottolineato che sembra una non-smentita formulata con attenzione: 

Twitter sta ora affrontando una class action(nuova finestra) per il suo rifiuto di riconoscere questo incidente come una violazione.

Il Sig. Hunt ha anche riportato che gli indirizzi email presuntivamente associati alla violazione sembrano legittimi.

Sembra probabile che questi dettagli degli account siano stati ottenuti sfruttando un difetto dell’API che Twitter ha riconosciuto ad agosto 2022(nuova finestra). L’azienda è stata informata nel gennaio 2022 che aveva introdotto un bug in un aggiornamento di giugno 2021 che avrebbe permesso a chiunque inserisse un numero di telefono o un’email di vedere quale fosse il nome utente corrispondente di Twitter (se esistente). 

A quel tempo, Twitter affermava che la violazione aveva esposto circa 5,4 milioni di nomi utente Twitter(nuova finestra) e le loro email e numeri di telefono corrispondenti. 

Come potrebbe questa violazione influenzarti?

Non ci sono prove che gli hacker abbiano avuto accesso alle password o ai DM degli utenti. Tuttavia, gli attaccanti possono ora collegare indirizzi email e numeri di telefono pubblicamente noti agli account Twitter, consentendo di identificare e fare doxxing agli utenti di Twitter. Questo permetterà anche di scrivere attacchi di phishing molto più convincenti.  

Durante l’indagine sulla violazione, il Sig. Hunt ha scoperto che il 98% delle email nel database di Twitter erano già state esposte(nuova finestra) in un’altra violazione di dati. Gli hacker hanno semplicemente prelevato gli indirizzi email esposti e li hanno utilizzati in Twitter per aggiungere un altro punto di dati ai database criminali in continua crescita. 

Come recuperare dalla violazione dei dati di Twitter

La prima cosa che puoi fare è andare su haveibeenpwned.com(nuova finestra) per vedere se il tuo indirizzo email o numero di telefono è stato esposto nella violazione. Se nessuno dei due appare, probabilmente non hai nulla di cui preoccuparti.

Se il tuo email appare, dovresti rimuoverlo dal tuo account Twitter e da qualsiasi altro account che usi. Dovresti anche aspettarti un aumento nel volume e nella qualità delle email di phishing che ricevi. 

Se il tuo numero di telefono appare, dovresti scollegarlo dal tuo account Twitter e da qualsiasi altro accountche usi. Potresti anche ricevere chiamate e messaggi di testo dannosi (smishing) che cercano di ingannarti per esporre informazioni sensibili. 

Anche se il tuo numero di telefono non appare nel database Have I Been Pwned, se stai usando il tuo numero di telefono per un autenticazione a due fattori (2FA), dovresti smettere. L’autenticazione a due fattori via SMS è insicura e dovresti passare a qualcosa di più sicuro, come un’app per password monouso basata su tempo o una chiave di sicurezza hardware.  

Come proteggerti da future violazioni

Sebbene non puoi prevenire le violazioni dei dati, puoi ridurre la tua vulnerabilità alle violazioni dei dati in generale. I seguenti passaggi impediranno agli hacker di mettere le mani su informazioni veramente sensibili o di poter usare i dati rubati per accedere ai tuoi altri account:

  1. Attiva l’autenticazione a due fattori su ogni account possibile. Questo impedisce agli hacker di poter accedere al tuo account anche se hanno la tua password e email. Può essere una cruciale ultima linea di difesa.
  2. Usa password forti e uniche per ogni account. Se usi una password diversa per ogni account, una violazione non potrà mai influenzare più di quell’account, limitando i potenziali danni e il tempo di recupero. Dovresti anche usare un gestore di password sicuro e open-source per tenere traccia di tutte le tue password. 
  3. Usa un’email unica per ogni account. Usando la stessa logica delle password uniche, gli hacker non possono identificare i tuoi account o seguirti su diversi piattaforme se crei un’email unica per ogni account. SimpleLogin di Proton Mail(nuova finestra) rende semplice creare e gestire dozzine di email alias. Se hai usato SimpleLogin per creare un alias per il tuo account Twitter, non saresti a rischio di essere identificato e potresti facilmente disattivare quell’alias per evitare attacchi di phishing. 
  4. Non condividere informazioni sensibili (quando puoi evitarlo). È tempo di essere reali e ammettere che c’è una buona possibilità che qualsiasi cosa tu condivida con un’azienda online possa finire esposta a un certo punto. Ma un’azienda non può esporre qualcosa in una violazione che non hai mai fornito in primo luogo. Quando possibile, evita di condividere qualcosa di più di un pseudonimo e di un’email alias quando crei un account. 

Questi passaggi aiuteranno a ridurre la tua esposizione a potenziali violazioni. Sfortunatamente, ci sono molto poche cose che puoi fare per proteggere informazioni che le organizzazioni già possiedono, ed è per questo che ti consigliamo di usare solo organizzazioni con buoni storici di sicurezza. Questo diventa più difficile ogni anno man mano che sempre più aziende subiscono violazioni e attacchi. Tuttavia, dovresti cercare organizzazioni che utilizzino codice open-source e abbiano una community attiva di contributori di sicurezza. Questo dimostra che queste aziende danno priorità alla sicurezza dei dati e sono disposte a affrontare la scrutini degli esperti per mantenere al sicuro le tue informazioni.

Puoi anche spingere i governi a far rispettare le leggi sulla privacy dei dati e punire le violazioni dei dati. Twitter è ancora sotto un decreto di consenso(nuova finestra) per violazioni dei dati del 2011. Avrebbe dovuto rilevare che gli account utente stavano venendo estratti e risolvere il problema più rapidamente. Sfortunatamente, le violazioni dei dati continueranno a verificarsi finché non saranno rese troppo costose da ignorare.

Articoli correlati

how to write a professional email
en
Easy steps and examples for writing a professional email. See how Proton Mail can make your emails stand out.
Email etiquette: What it is and why it matters |
en
Find out what email etiquette is with key rules and examples, why it is important, and how Proton Mail can help.
A cover image for a blog about how to create an incident response plan that shows a desktop computer and a laptop with warning signs on their screens
en
Do you have an incident response plan to protect your business from financial and reputational damage? Find out how Proton Pass for Business can help you stay safe.
Shared with me in Proton Drive for desktop user interface
en
  • Per le aziende
  • Aggiornamenti dei prodotti
  • Proton Drive
We've improved Proton Drive for Windows to make it easier to securely collaborate with others from your desktop.
Smart glasses that have been modified for facial surveillance and dox you in real time, finding your personal information after seeing your face.
en
Students modified smart glasses to find someone’s personal data after just looking at them. This is why we must minimize data collection.
The cover image for a blog explaining what password encryption is and how Proton Pass helps users with no tech experience benefit from it
en
Password encryption sounds complicated, but anyone can benefit from it. We explain what it is and how it’s built into Proton Pass for everyone to use.