Gli exploit zero-day rappresentano una minaccia per il settore tecnologico, poiché i browser web come Chrome e Firefox sono particolarmente vulnerabili a queste minacce. Sebbene Google stia al passo con i rilevamenti zero-day, gli hacker cercano sempre scappatoie di sicurezza in tutti i tipi di servizi. Twitter è stato l’obiettivo di uno di questi attacchi nel dicembre 2021, con il singolo responsabile che ha affermato di aver ottenuto informazioni chiave da 5,4 milioni di account sulla piattaforma. La società ha ora confermato ufficialmente che l’attacco è avvenuto e che l’exploit zero-day utilizzato per realizzarlo è stato sistemato.
Mentre Twitter comunica i dettagli della violazione, non cambia il fatto che l’attaccante abbia ancora a disposizione i dati dell’account utente. L’hacker ha detto a BleepingComputer il mese scorso di essere in grado di compilare profili di 5.485.636 account con informazioni come posizione, URL, immagine del profilo e altri dati.
Ha utilizzato una vulnerabilità che consentiva a chiunque di interrogare un numero di telefono o un’e-mail per controllare un account Twitter attivo e quindi ottenere le informazioni sull’account. Fondamentalmente, i dati sono stati offerti per circa $ 30.000 secondo la pubblicazione, anche se secondo quanto riferito sono stati venduti per un importo significativamente inferiore ad almeno due persone separate.
L’attaccante ha anche affermato che al momento i dati potrebbero finire per essere rilasciati gratuitamente, mettendo a rischio la privacy di milioni di utenti. Da parte sua, Twitter ha affermato di aver appreso del bug a gennaio di quest’anno tramite il suo programma di ricompense dei bug, HackerOne, aggiungendo che la vulnerabilità si è insinuata dopo un aggiornamento del suo codice nel giugno 2021.
Sebbene il problema sia stato risolto all’inizio di quest’anno, Twitter afferma non tiene conto della probabilità che l’attaccante sia già in possesso dei dati. La situazione è cambiata il mese scorso dopo una prima ondata di pubblicità all’attacco di cui Twitter ha potuto confermare di aver utilizzato l’exploit zero-day in questione dopo aver esaminato uno dei campioni messi in vendita.
Twitter ha affermato che sta notificando ogni utente interessato, ma ha ammesso di non poter confermare tutti gli account che sono stati esposti a causa di questa scappatoia di sicurezza. Gli account gestiti da persone che potrebbero essere ricercate da governi o altri gruppi terroristici possono utilizzare il set di dati violato per rintracciare i loro obiettivi.
Le password non facevano parte della violazione dei dati, ma la società consiglia agli utenti di attivare l’autenticazione a due fattori (magari non quella tramite SMS) per i propri account: considerando che i numeri di telefono sono un vettore di minaccia, gli utenti dovrebbero scegliere un’app di autenticazione o una chiave hardware.
