Twitter ha dichiarato che se si gestisce un account Twitter pseudonimo, “comprendiamo i rischi che un incidente come questo può introdurre e siamo profondamente dispiaciuti che ciò sia accaduto”.
“Per mantenere la vostra identità il più velata possibile, vi consigliamo di non aggiungere al vostro account Twitter un numero di telefono o un indirizzo e-mail noto al pubblico”, ha dichiarato l’azienda in un comunicato diffuso venerdì.
L’azienda ha dichiarato che, sebbene non sia stata esposta alcuna password, “incoraggiamo tutti coloro che utilizzano Twitter ad attivare l’autenticazione a due fattori utilizzando app di autenticazione o chiavi di sicurezza hardware per proteggere il proprio account da accessi non autorizzati”.
La vulnerabilità consentiva ai malintenzionati di inserire un numero di telefono o un indirizzo e-mail nel flusso di accesso, nel tentativo di scoprire se tali informazioni fossero legate a un account Twitter esistente e, in tal caso, a quale account specifico.
“Prendiamo molto sul serio la nostra responsabilità di proteggere la privacy degli utenti ed è un peccato che questo sia accaduto”, ha dichiarato Twitter.
A gennaio Twitter ha ricevuto una segnalazione attraverso il suo programma di bug bounty di una vulnerabilità nei suoi sistemi.
“Come risultato della vulnerabilità, se qualcuno inviava un indirizzo e-mail o un numero di telefono ai sistemi di Twitter, i sistemi di Twitter avrebbero detto alla persona a quale account Twitter era associato l’indirizzo e-mail o il numero di telefono inviato, se presente”, ha dichiarato la società.
A luglio, Twitter ha appreso che qualcuno aveva potenzialmente sfruttato questo (bug) e si stava offrendo di vendere le informazioni raccolte.
“Dopo aver esaminato un campione di dati disponibili per la vendita, abbiamo confermato che un malintenzionato aveva sfruttato il problema prima che venisse risolto”, ha dichiarato Twitter.
L’azienda sta informando direttamente i proprietari degli account che sono stati colpiti da questo problema.
