Yusuf è un aspirante giornalista ed esperto di diritto sanitario con un’attenzione particolare alle innovazioni tecnologiche. Scrive per Right for Education, Libertist Centre for Education, Qwenu, e per Gamji Press, UDUS. Il 5 agosto 2022 Twitter ha riconosciuto che un attore minaccioso ha compilato un database di dati degli utenti utilizzando una vulnerabilità zero-day. Secondo il servizio di microblogging, questa vulnerabilità è stata patchata nel gennaio 2022, ma la violazione ha colpito almeno 5 milioni di utenti di Twitter, per un totale potenziale di 20 milioni. Tuttavia, oggi Bleeping Computer ha riferito che il database, che include informazioni non pubbliche di oltre 5 milioni di utenti, è stato ora condiviso gratuitamente all’interno di un forum sul mercato dei dati violati. I dati riportano anche che un altro database, potenzialmente contenente 17 milioni di record, è stato creato utilizzando le stesse attività vulnerabili.
Confermato l’hack Zero-Day di Twitter
Confermando le vulnerabilità zero-day delle API, Twitter ha rilasciato nell’agosto di quest’anno una dichiarazione ufficiale in tal senso. La dichiarazione recita:
“Come risultato della vulnerabilità, se qualcuno inviava un indirizzo e-mail o un numero di telefono ai sistemi di Twitter, i sistemi di Twitter avrebbero detto alla persona a quale account Twitter erano associati gli indirizzi e-mail o i numeri di telefono inviati, se esistenti. Questo bug è stato causato da un aggiornamento del nostro codice nel giugno 2021. Quando ne siamo venuti a conoscenza, abbiamo immediatamente indagato e risolto il problema. In quel momento, non avevamo prove che suggerissero che qualcuno avesse approfittato della vulnerabilità”. La dichiarazione prosegue: “… non siamo in grado di confermare tutti gli account potenzialmente colpiti e siamo particolarmente attenti alle persone con account pseudonimi che possono essere presi di mira da attori statali o di altro tipo”.
Il database di 5.485.635 record di utenti di Twitter, che era stato messo in vendita per 30.000 dollari a luglio, è stato rilasciato gratuitamente il 24 novembre sul sito web Breach Forums, secondo quanto riportato da Bleeping Computer. La maggior parte delle informazioni, tra cui le identità di Twitter, i nomi di accesso e lo stato di verifica, sembra essere nota al grande pubblico. Secondo il rapporto, vengono fornite anche informazioni private, come numeri di telefono e indirizzi e-mail.
Come rivelato per la prima volta da un hacker sulla piattaforma di bug bounty HackerOne (che si è guadagnato un compenso di 5.000 dollari da Twitter), i dati sembrano essere stati raccolti utilizzando una falla dell’Application Programming Interface (API), che ha permesso di eliminare i dati.
Ingenti dati rubati agli utenti di Twitter
Chad Loder, un ricercatore di database, ha inoltre affermato che esiste un database più grande di dati rubati, distinto da quello divulgato in precedenza, ma contenente dati raccolti utilizzando la stessa vulnerabilità API. Dopo essere stato bannato da Twitter, Loder ha postato su Mastodon uno screenshot che era stato censurato e che mostrava presumibilmente le informazioni del nuovo database che, secondo Loder, contiene informazioni su intere nazioni. Bleeping Computer ha ricevuto un campione di questo database, che conteneva più di un milione di numeri di telefono di utenti francesi di Twitter. La rivista sostiene di aver poi verificato con numerosi utenti che le statistiche sono reali e che il database contiene elenchi di utenti provenienti, oltre che dagli Stati Uniti, anche da Europa, Israele e Stati Uniti. “Ci è stato detto che si tratta di oltre 17 milioni di record, ma non abbiamo potuto confermarlo in modo indipendente”. Il rapporto di Bleeping Computer ha aggiunto.
