Da qualche tempo, anche Twitter sta riscontrando diversi problemi nel tutelare la privacy dei propri utenti. Lasciatosi alle spalle l’inconveniente per il quale alcuni numeri di telefono dell’autenticazione a due fattori erano stati usati per pubblicità mirate, all’inizio della settimana in corso, venne sanato un bug che avrebbe permesso a un malintenzionato di prendere il controllo di un account, e di leggerne le informazioni riservate, iniettando del codice malevolo nell’app: ora, a quanto pare, è già tempo di un ulteriore bug ammazza privacy.
A renderne conto è il ricercatore di sicurezza Ibrahim Balic, che – per due mesi – si è prodotto in un test alquanto singolare: l’esperto, nella fattispecie, ha generato automaticamente oltre 2 miliardi di numeri di telefono, caricandoli (in modo non sequenziale, per aggirare le protezioni della piattaforma) nell’app Android di Twitter (salvo, però, nella sua emanazione web) attraverso la funzione che consente l’upload di liste di numeri, per appurare l’eventualità che si abbia già un account, sì da poterlo recuperare.
In diversi casi, corrispondenti a 17 milioni di account, è riuscito ad associare un numero di telefono a un account, risalendo il al modo all’identità privata di utenti (in alcuni casi politici e funzionari) distribuiti in Germania, Francia, Grecia, Turchia, Israele, Armenia, e Iran.
Balic, già noto per aver segnalato nel 2013 in importante problema di sicurezza inerente Apple, aveva preso ad avvertire privatamente gli utenti coinvolti, quando il 20 Dicembre Twitter ha bloccato gli utenti (cioè lui) che hanno abusato della funzione in oggetto e, a quel punto, non ha potuto far altro che proseguire nella sua attività di alerting creando un apposito gruppo WhatsApp.
La rivista online TechCrunch, venuta a conoscenza di questo bug, che non sembrerebbe connesso a quello precedente sanato dal microblog del canarino azzurro, ha chiesto un pronunciamento a Twitter che, sul tema, non ha tardato a esprimersi.
Il team del CEO, Jack Dorsey, ha premesso di avere come priorità la tutela della sicurezza e della privacy dei propri users e, allo scopo, ha assicurato di aver iniziato a investigare attivamente per evitare che un episodio del genere si ripeta, all’insegna di una risposa che, però, non fuga i dubbi sull’eventualità che il bug sia già stato utilizzato da qualche malintenzionato, per scopi meno nobili di quelli alla base dell’operato di Balic.