Cosa hai bisogno di sapere
- Twitter è stato colpito da una nuova vulnerabilità di sicurezza, che è stata corretta.
- La vulnerabilità ha consentito agli hacker di identificare a quale account è associato un indirizzo e-mail o un numero di telefono.
- Ciò ha potenzialmente esposto la vera identità degli account pseudonimi.
Un bug di Twitter ha lasciato scoperte le identità di milioni di account segreti attraverso un forum di hacker, ha confermato il servizio di microblogging, aggiungendo che da allora ha risolto la vulnerabilità.
La scappatoia ha consentito ai malintenzionati di scoprire se un numero di telefono o un indirizzo e-mail era associato a un account esistente semplicemente inserendo queste informazioni nel flusso di accesso.
"A causa della vulnerabilità, se qualcuno ha inviato un indirizzo e-mail o un numero di telefono ai sistemi di Twitter, i sistemi di Twitter direbbe alla persona a quale account Twitter sono stati associati gli indirizzi e-mail o il numero di telefono inviati, se presenti", ha affermato Twitter in un post sul blog.
La falla di sicurezza derivava da un aggiornamento del codice di Twitter introdotto nel giugno dello scorso anno. Twitter ha risolto il problema dopo aver ricevuto un rapporto lo scorso gennaio attraverso il suo programma di bug bounty. La società ha aggiunto di non aver trovato "alcuna prova che suggerisca che qualcuno abbia approfittato della vulnerabilità" quando ha appreso per la prima volta del bug.
Tuttavia, la segnalazione del bug è arrivata troppo tardi perché alcuni malintenzionati avevano già sfruttato la falla. Secondo a Computer che suona rapporto, un hacker ha venduto un database contenente numeri di telefono e indirizzi e-mail legati a 5,4 milioni di account tramite un forum di hacker per $ 30.000.
"Dopo aver esaminato un campione dei dati disponibili per la vendita, abbiamo confermato che un cattivo attore aveva approfittato del problema prima che fosse risolto", ha confermato Twitter.
La società non ha specificato quanti account sono stati interessati, ma ha affermato che la violazione ha potenzialmente interessato gli utenti con account pseudonimi. Il database in vendita, secondo Bleeping Computer, contiene informazioni "su vari account, tra cui celebrità, aziende e utenti casuali".
Twitter avviserà i proprietari degli account interessati da questa vulnerabilità. Per gli utenti con account segreti, la piattaforma consiglia di "non aggiungere un numero di telefono o un indirizzo e-mail pubblicamente noto" ai propri account Twitter per nascondere la propria identità.
Fortunatamente, nessuna password è stata compromessa a causa dell'hacking. Tuttavia, il servizio incoraggia gli utenti a farlo abilitare l'autenticazione a due fattori attraverso l'uso di app di autenticazione o chiavi di sicurezza hardware.