Nel mentre si discute ancora dei colori della spunta di verifica e del fatto che possano essere creati in futuro post più lunghi (si parla di 420 caratteri), Twitter è di nuovo finita al centro dell’attenzione, questa volta per un grave problema di sicurezza notiziato nelle scorse ore da Bleeping Computer.
Secondo il portale di sicurezza, nelle scorse ore è stato offerto gratuitamente un database con più di 5,4 milioni di account (5.485.635 record), in verità già messi in vendita lo scorso Luglio, per 300mila dollari: la maggior parte dei dati in questione si sostanziava in informazioni pubbliche, come nomi, posizioni, nomi di accesso, stato di verifica, ID Twitter, senza contare informazioni private come gli indirizzi email e i numeri di telefono. Secondo quanto emerso all’epoca, i dati in questione erano stati raccolti grazie a una vulnerabilità (segnalata nel bug bounty di HackerOne) di un’API di Twitter, in ragione della quale, inserendo il telefono o la mail, si ricavava l’ID Twitter associato.
Usando quest’ultimo si potevano creare record con info pubbliche e private, raccogliendo i dati degli utenti: a quanto pare, la vulnerabilità era stata introdotta per errore nel Giugno del 2021, e sanata da Twitter nel Gennaio del 2022, anche se la stessa nel frattempo era già stata usata da altri malintenzionati.
Una conferma in tal senso si è avuta con la comparsa di un altro database, con 1,4 milioni di account sospesi, in questo caso non messo in vendita ma condiviso privatamente con pochi utenti, sempre contenente informazioni private, raccolte sfruttando un’altra API di Twitter. Oltre a tale problema, l’esperto di sicurezza Chad Loder, poi sospeso da Twitter per la rivelazione, fatta anche su Mastodon, ha rivelato che la stessa vulnerabilità sarebbe stata usata per creare un dump di dati ancora più vasto, forse relativo a milioni di utenti, con coinvolgimento degli utenti USA ed EU.
Secondo l’esperto, che ha contattato alcuni degli utenti coinvolti, si tratta di dati verificati, e recenti, posto che la “violazione si è verificata non prima del 2021“, con numeri di telefono non presenti “nei dati originali venduti ad Agosto“. A questo punto, è da attendersi un’ondata di email di phishing fintamente attribuite al social che, millantando la sospensione dell’account, la perdita della verifica, o problemi di accesso, tenderanno a portare l’utente su login esterni a Twitter, in modo da carpirne l’accesso alle credenziali di accesso.