Dicembre, 2022

Da alcuni giorni circola la notizia di un presunto furto di dati di 400 milioni di utenti di Twitter. Su BreachForums, un noto sito di compravendita di dati rubati, è comparso un annuncio, a nome di un utente del sito che si fa chiamare Ryushi, che offre dati privati di circa 400 milioni di utenti unici di Twitter, compresi indirizzi di mail e numeri di telefono di celebrità, politici e aziende.

Un articolo su BleepingComputer fornisce numerosi dettagli ulteriori. “Ryushi” dice che sta cercando di vendere i dati a una singola persona (o a Twitter stessa) per 200.000 dollari e in tal caso li cancellerà; se la vendita non va in porto, proverà a venderli ripetutamente a 60.000 dollari per volta.

I dati sarebbero stati ottenuti usando una vulnerabilità di Twitter che è stata corretta a gennaio 2022, quindi ben prima dell’acquisizione da parte di Elon Musk.

BleepingComputer ha confermato che i dati di due dei profili presenti nella raccolta messa in vendita abusivamente sono autentici. Inoltre almeno uno dei profili di celebrità elencati nel campione dimostrativo, quello del noto giornalista e opinionista britannico Piers Morgan, sia stato violato, secondo la segnalazione di Troy Hunt successivamente confermata da Wales Online; il furto dei dati e la violazione dell’account potrebbero essere collegati.

Fra i dati rubati ho visto account attribuiti ad alcuni politici statunitensi, almeno un astronauta, Whoopi Goldberg, William Shatner e Anthony Daniels.

—

Cosa fare. Come consueto, anche se non siete celebrità o amministratori di account aziendali su Twitter, consiglio di fare grande attenzione a qualunque messaggio che parli di problemi di sicurezza riguardanti il vostro account Twitter: potrebbe trattarsi di un tentativo di altri truffatori di rubarvi l’account partendo da questi dati rubati, che non sono completi ma offrono un appiglio iniziale.

Se usate su Twitter la stessa password che usate altrove, cambiatela e smettete di adottare questa pratica pericolosissima che spiana la strada ai ladri che vogliono prendere il controllo degli account per poi ricattare i legittimi titolari chiedendo soldi per restituirlo. Attivate l’autenticazione a due fattori, preferibilmente tramite app invece che via SMS.

Sottolineo che in questo caso i dati non sono stati rubati a causa degli utenti; la fuga è dovuta unicamente a un errore tecnico di Twitter. Questo errore, fra l’altro, potrebbe avere serie ripercussioni legali ed economiche per Twitter alla luce delle sanzioni legate a violazioni delle leggi di protezione dei dati personali, come per esempio il GDPR.