Twitter ha comunicato di aver forzato il logout di alcuni utenti da tutte le sessioni attive sui dispositivi mobile. L’operazione è stata necessaria a causa di un bug relativo al reset della password. Il problema di sicurezza era piuttosto serio, in quanto chiunque poteva accedere all’account anche dopo la modifica delle credenziali. Le sessioni web sono state chiuse correttamente.
Sessioni attive dopo il reset della password
Twitter non ha fornito dettagli sulle tempistiche, ovvero quando ha scoperto l’esistenza del problema. L’azienda californiana ha però specificato che il bug è stato introdotto l’anno scorso, in seguito ad un cambiamento apportato ai sistemi che gestiscono la procedura di reset della password, quindi era presente da almeno 9 mesi.
We fixed a bug that didn't close all active logged in sessions on Android and iOS after an account's password was reset. To keep your account safe, we logged some of you out. You can log back in to keep using Twitter.
For more details on what happened: https://t.co/OmjLKOe5bs
— Support (@Support) September 21, 2022
A causa del bug, alcuni account Twitter sono rimasti connessi dopo la reimpostazione della password da parte degli utenti. In pratica, il logout dalla sessione in corso non è avvenuto per tutti i dispositivi mobile. Uno sconosciuto, ad esempio un ladro, poteva accedere all’account all’insaputa del legittimo proprietario.
Twitter ha informato gli utenti interessati, ma ha chiuso proattivamente tutte le sessioni aperte per bloccare eventuali accessi indesiderati. L’azienda consiglia di verificare periodicamente le sessioni attive nelle impostazioni dell’account.
L’incidente è sicuramente meno grave di quello accaduto a fine luglio e confermato all’inizio di agosto. L’ex Chief Security Officer Peiter Zatko ha dichiarato che Twitter non presta molta attenzione alla sicurezza.
Ti potrebbe interessare
22 set 2022