Un certo “devil” ha comunicato su un forum nel dark web di aver collezionato oltre 5,4 milioni di account Twitter, sfruttando una vulnerabilità del social network. I dati degli utenti, tra cui indirizzo email e password, sono in vendita a 30.000 dollari. Dopo aver esaminato il campione pubblicato sul forum, Bleeping Computer ha confermato l’autenticità dei dati.
Rubati dati di oltre 5,4 milioni di utenti Twitter
Il cybercriminale ha dichiarato che il furto dei dati è stato effettuato a dicembre 2021, utilizzando una vulnerabilità di Twitter segnalata su HackerOne il 1 gennaio 2022. Il bug consentiva di ottenere il Twitter ID attraverso il numero di telefono o l’indirizzo email, anche se l’utente ha bloccato questa opzione nelle impostazioni della privacy. Il problema di sicurezza era dovuto al processo di verifica dell’account duplicato nel client Android.
Dopo aver scoperto il Twitter ID, un malintenzionato può recuperare tutte le informazioni sull’account e quindi creare un database di indirizzi email e password che può essere venduto nel dark web (esattamente quello che ha fatto “devil”) oppure sfruttato per effettuare attacchi di phishing.
Cinque giorni dopo la segnalazione, Twitter ha comunicato di aver avviato le indagini sulla vulnerabilità. Il 13 gennaio 2022 è stato rilasciato un fix per risolvere il problema. L’autore della segnalazione ha ricevuto un premio di 5.040 dollari.
Il campione dei dati è autentico. Non è possibile stabilire la validità dell’intero database. Gli utenti devono prestare attenzione alle email o agli SMS che sembrano essere inviati da Twitter. È fortemente consigliata l’installazione di una soluzione di sicurezza che rileva e blocca i tentativi di phishing. Una delle più efficaci è Bitedefender Total Security.