Twitter si trova a dover affrontare un nuovo attacco sul piano della sicurezza: secondo le ultime ricostruzioni degli eventi, il popolare social media sarebbe stato vittima di visite indesiderate da parte di un cracker. Nonostante l’intrusione, non sarebbero stati ravvisati interventi distruttivi: con tutta probabilità l’autore del gesto sarebbe stato spinto dalla curiosità di vedere Twitter dal suo interno.
L’azione in sé pare quantomai semplice: indovinando la risposta richiesta dalla webmail di Yahoo, il cracker è riuscito ad ottenere le credenziali d’accesso al profilo da admin di un dipendente, precisamente dell’account di Jason Goldman, e ad avere quindi accesso alla sezione amministrativa del sito. Nonostante ciò, l’intrusione non avrebbe causato danni agli account dei vari utenti: secondo quanto riportato da Twitter, l’autore del ratto si sarebbe limitato a curiosare in giro e tra statistiche e dati personali di una decina di account.
Inoltre, non sarebbero state apportare modifiche alcune alle password degli account fra cui è stato sbirciato, tra cui parrebbe esserci anche quello del neo milionario (inteso come numero di follower) Ashton Kutcher. Stesso discorso per quanto riguarda i messaggi privati tra utenti, che non sarebbero rientrati nell’interesse dell’autore del gesto. Il cracker, che si firma Hacker Croll, ha annunciato in un forum il proprio operato, specificando di non aver utilizzato nient’altro che una buona dose di social engineering, piuttosto che ricorrere a vulnerabilità xss, backdoor o sql injection. Com’è ovvio, gran parte del lavoro è stato fatto dalla negligenza in materia di sicurezza del dipendente dell’azienda, che con molta probabilità potrebbe aver scelto una password relativamente semplice da indovinare.
Al contrario, dagli screenshot postati come prova dell’avvenuta intrusione, è stato possibile evincere le varie relazioni tra alcuni account appartenenti a personaggi pubblici, quindi chi ha bloccato chi: in tal senso è stato possibile sapere che l’account riconducibile al Presidente statunitense Barack Obama ha bloccato un centinaio di follower, così come alcune celebrità avrebbero scelto di non visualizzare nella propria timeline le sortite gossippare di Perez Hilton.
Sull’intera vicenda indaga ora l’occhio di Twitter. Come si spiega nel blog ufficiale del servizio, “Twitter ha contattato gli utenti il cui account è stato violato per informarli dell’accaduto”, riservandosi il diritto di compiere un’indagine più approfondita volta a comprendere meglio l’accaduto. Come ricorderanno i lettori di Punto Informatico l’inizio del 2009 ha portato non pochi problemi in materia di sicurezza, tra scam e worm cinguettati ed account violati.
Vincenzo Gentile