Twitter ha confermato che, a causa di una vulnerabilità introdotta con l’aggiornamento del codice di giugno 2021, qualcuno ha avuto accesso agli account e sottratto varie informazioni personali. A fine luglio, un certo “devil” ha messo in vendita i dati di oltre 5,4 milioni di utenti sul dark web. L’azienda californiana ha risolto il bug e informato gli interessati (non tutti).
Data breach: come proteggere l’account
Twitter ha ricevuto la segnalazione della vulnerabilità a gennaio 2022 attraverso il programma bug bounty. Il problema di sicurezza, segnalato anche sulla piattaforma HackerOne, consentiva di verificare l’esistenza di un account (Twitter ID) indicando numero di telefono o indirizzo email. L’azienda spiega che il bug, introdotto con un aggiornamento del codice a giugno 2021, è stato successivamente risolto.
A fine luglio però un cybercriminale ha svelato di aver sfruttato la vulnerabilità per raccogliere i dati di oltre 5,4 milioni di utenti. Utilizzando il Twitter ID ha avuto accesso ad altre informazioni, tra cui nome di login, posizione geografica, immagine del profilo e numero di follower. I dati sono stati messi in vendita per 30.000 dollari e almeno due persone hanno acquistato il database per una somma inferiore.
Twitter ha contattato la maggioranza degli utenti, ma non è possibile confermare con esattezza il numero di account interessati. L’azienda suggerisce di non aggiungere numeri di telefono e indirizzi email conosciuti per mantenere anonima l’identità. Gli utenti dovrebbero inoltre attivare l’autenticazione in due fattori. Per bloccare eventuali attacchi di phishing, spear phishing o smishing è preferibile istallare una soluzione di sicurezza, come Malwarebytes Premium.