Michele PinassiTL;DR pubblicato in Rete un enorme archivio di informazioni personali, più di 200 milioni di account, raccolte attraverso uno scraping di Twitter. Anche se non contiene le password, rappresenta comunque un problema da non sottovalutare per la nostra sicurezza nel mondo virtuale.
Pubblicato on-the-wild l’enorme archivio dei dati personali di oltre 200 milioni di utenti Twitter. Se avete un account su Twitter, la probabilità che anche voi siate nel leak, originato da un massiccio scraping, è altissima.
Iniziamo da quali sono i dati personali presenti nel leak. Parliamo dell’indirizzo mail, il nome, lo pseudonimo, il numero dei follower e la data di creazione dell’account.
Sono finito nel leak?
Per verificare se anche noi siamo finiti nel leak, possiamo usare la nota piattaforma HaveIBeenPwned.com dove, inserendo l’indirizzo mail, otterremo in risposta l’elenco dei leak nei quali è presente.
Se il nostro indirizzo mail è presente, niente panico: come prima cosa, attivare immediatamente l’autenticazione a due fattori da Impostazioni->Sicurezza, così da impedire accessi non autorizzati al nostro profilo. In seconda battuta, per scrupolo, cambiare la password di accesso.
Cos’è successo?
Il leak ha origine da un massiccio scraping avvenuto nel 2021, reso possibile da alcune falle della piattaforma di cinguettii virtuali, ed anche se i dati raccolti non includono le password, quanto accaduto è indubbiamente molto grave.
Lo scraping (da to scrape, “grattare“) è una tecnica per la raccolta di informazioni e dati su Internet che viene effettuata attraverso automatismi che sfruttano caratteristiche o vulnerabilità della piattaforma bersaglio. In questo caso, sembra, si trattava di una chiamata API che permetteva di ottenere informazioni sugli utenti di Twitter partendo dal loro indirizzo mail.
Potenziali conseguenze
L’esposizione di queste informazioni personali può potenzialmente avere alcune sgradevoli conseguenze, come ad esempio l’accesso non autorizzato al nostro profilo Twitter partendo dall’indirizzo mail: un attaccante può tentare di indovinare le credenziali o, se abbiamo la pessima abitudine di usare sempre la stessa, verificare in qualche altro leak se la nostra password è stata già trafugata ed usarla per i suoi scopi. Abilitare l’autenticazione a due fattori impedisce questo attacco.
Se avevamo attivato un account “anonimo” usando un nostro indirizzo mail personale, questo leak mette in luce il collegamento tra quell’account e la nostra identità, con conseguenze potenzialmente sgradevoli se non proprio pericolose: penso a chi vive in Regioni non democratiche e l’uso di queste informazioni a scopo repressivo. Se desiderate usare Twitter (o qualsiasi altro servizio online) in modo anonimo, consiglio vivamente di attivare un indirizzo mail ad-hoc e non riconducibile alla Vostra persona in alcun modo.
Vi è poi l’esposizione di un enorme quantità di indirizzi mail potenzialmente validi, che saranno usati per il solito noioso spam, attacchi phishing e quant’altro. Inoltre, questi dati rendono possibili la ricostruzione di eventuali collegamenti tra utenti e l’uso di questi indirizzi mail per attacchi di phishing mirati.
Per finire…
Purtroppo leak e breach di dati personali sono all’ordine del giorno. Più una piattaforma è grande, come numero di utenti, e più l’impatto dell’esposizione dei dati è forte e, come recita il Regolamento Europeo 2016/679 “GDPR”, potenzialmente lede diritti e le libertà degli interessati.
Twitter dovrebbe notificare agli utenti coinvolti (“interessati“) l’avvenuto breach entro 72h (“senza ingiustificato ritardo“) dal momento in cui ne è venuta a conoscenza e dovrebbero anche avviarsi le relative indagini da parte delle autorità preposte per accertare eventuali responsabilità del Titolare di queste informazioni (“Twitter“), con eventuale erogazione di una sanzione pecuniaria (fino al 2% del fatturato annuo, secondo il GDPR).
Hai imparato qualcosa di nuovo?
