Twitter corregge un difetto software che consente a un hacker di rubare informazioni da 5,4 milioni di account

Twitter ha rivelato che la vulnerabilità zero-day che ha consentito a un cattivo attore di compilare un elenco di 5,4 milioni di profili di account nel dicembre 2021 è ora corretta a partire da venerdì.

Una vulnerabilità zero-day è un difetto del software sconosciuto alle parti responsabili del sito ed è una finestra aperta per coloro che si nascondono nel back-end del sito web.

La vulnerabilità ha permesso all’hacker noto come “diavolo” di raschiare Twitter e raccogliere numeri di telefono ed e-mail associati ai milioni di account che appartenevano a “celebrità, aziende e persone casuali”, secondo un post dell’hacker sul dark web che afferma la raccolta era dovuta a “incompetenza di Twitter”.

La correzione arriva troppo tardi, poiché l’hacker ha già caricato i dati sul dark web e vendeva gli account per $ 30.000 ciascuno: non è chiaro quanti ne siano stati acquistati, riferisce BleepingComputer.

Scorri verso il basso per il video

Twitter ha rivelato in un avviso di sicurezza venerdì: “Nel gennaio 2022, abbiamo ricevuto una segnalazione tramite il nostro programma di ricompense dei bug di una vulnerabilità che consentiva a qualcuno di identificare l’e-mail o il numero di telefono associato a un account o, se conosceva l’e-mail o il numero di telefono di una persona , potrebbero identificare il proprio account Twitter, se esistesse.’

“Questo bug è il risultato di un aggiornamento del nostro codice nel giugno 2021. Quando lo abbiamo appreso, lo abbiamo immediatamente esaminato e risolto. A quel tempo, non avevamo prove che suggerissero che qualcuno avesse approfittato della vulnerabilità.’

Twitter ha detto a BleepingComputer che è a conoscenza di chi sono alcuni degli utenti che sono stati colpiti dall’hacking e sta inviando notifiche a questi individui per informarli che il loro numero di telefono o indirizzo e-mail è ora compromesso.

Tuttavia, la piattaforma di social media non ci è chiaro quanti utenti siano stati vittime.

La correzione arriva troppo tardi, poiché l’hacker ha già caricato i dati sul dark web e vendeva gli account per $ 30.000 ciascuno: non è chiaro quanti ne siano stati acquistati

Al momento, Twitter ci dice che non è in grado di determinare il numero esatto di persone interessate dalla violazione. Nessuna password è stata raccolta dal “diavolo”, quindi gli account non verranno rubati.

Twitter esorta gli utenti a stabilire l’autenticazione a due fattori sui propri account per impedire a chiunque di accedere in modo errato al proprio account.

“Stiamo pubblicando questo aggiornamento perché non siamo in grado di confermare tutti gli account potenzialmente interessati e siamo particolarmente attenti alle persone con account pseudonimi che possono essere presi di mira dallo stato o da altri attori”, ha avvertito l’avviso di Twitter.

Graham Ivan Clark è stato responsabile di un hack globale su Twitter nel 2020

Questo attacco, sebbene di grandi dimensioni, non ha fatto tanto rumore quanto l’hacking globale secondo cui gli account dirottati appartengono a persone di alto profilo come Bill Gates, Barak Obama e Bill Gates.

La violazione del 15 luglio 2020, la più grande nella storia di Twitter, ha preso il controllo anche di celebrità tra cui Elon Musk, Kanye West, il CEO di Amazon Jeff Bezos, Mike Bloomberg, Warren Buffett, Floyd Mayweather e Kim Kardashian.

Sono stati pubblicati messaggi dai famosi account che dicevano ai follower di inviare pagamenti Bitcoin a indirizzi e-mail, truffando oltre $ 180.000 a vittime ignare nel processo.

Un hacker che si è identificato come “Kirk”, ritenuto Graham Ivan Clark, ha affermato di essere un dipendente di Twitter e ha affermato di poter “reimpostare, scambiare e controllare qualsiasi account Twitter a piacimento” in cambio di pagamenti in valuta informatica, secondo i documenti del tribunale. Clark, che è stato condannato come un delinquente giovanile – all’epoca aveva 17 anni – ha ricevuto una dichiarazione di tre anni di reclusione.