Twitter: autenticazione a 2 fattori via SMS e integrazione con Slack addio, codice open source, scandalo account verificati, test vari

Nel mentre monta lo scandalo degli account verificati usati per truffare, Twitter ha annunciato che renderà open source tutto il suo codice e che, ormai, l'autenticazione a due fattori via SMS è solo per gli utenti paganti.

Twitter: autenticazione a 2 fattori via SMS e integrazione con Slack addio, codice open source, scandalo account verificati, test vari

Dopo le novità relative alla prioritizzazione delle risposte secondo vari parametri, privilegiando gli abbonati, Twitter ha preso a ricordare, sempre in favore degli abbonati, che gli utenti comuni non potranno più usare un metodo di autenticazione a due fattori molto popolare. Nel contempo il social, alle prese con alcuni test, interni e pubblici, ha avuto problemi con la violazione di account illustri, ha cessato l’integrazione con Slack e promesso mediante una comunicazione ufficiale un’operazione in quota trasparenza. 

Come noto, Twitter ha un piano di abbonamento, Twitter Blue, che parte da 7 euro al mese per chi si abbona da web per arrivare a 11 euro al mese per coloro che lo fanno da app Android o iOS a causa della necessità di coprire le tasse per gli acquisti in-app degli store di Apple e Google. Orbene, da Febbraio Twitter ha deciso che l’autenticazione a due fattori, che offre un livello di sicurezza aggiuntiva nel caso qualcuno abbia rubato la password dell’account (cosa non rara visti i recenti annunci di vendita nel dark web), nella fattispecie di quella che prevede la ricezione di un codice usa e getta via SMS, sarà destinata agli utenti paganti.

Ad oggi tale misura di autenticazione a due fattori è la più diffusa, anche perché per molto tempo è stata la sola, ma è anche la meno sicura, perché un utente con un keylogger potrebbe leggere il codice inviarto per SMS o, via attacco di SIM Swap, potrebbe farsi assegnare un dato numero e ricevere gli SMS destinati al legittimo proprietario del numero rubato o swappato. Secondo quanto emerso dagli avvisi che insistentemente stanno arrivando agli utenti appena si connettono al proprio account, si avrà tempo sino a oggi per disattivare tale metodo di autenticazione, che “non dissocia automaticamente il numero di telefono dal proprio account Twitter“.

A quel punto, per non lasciare l’account “scoperto”, l’utente potrà usare un token fisico per la sicurezza o un’app di autenticazione, tra cui Microsoft Authenticator, Google Authenticator, Free OTP, Authy, e il sistema integrato su iOS. 

Un altro elemento problematico è quello degli account con spunta, quindi “legacy”, che però sono ben lungi dall’essere a prova di troll, visto che nelle scorse giornate è emerso lo scandalo degli account verificati (anche, ma non solo) di due noti giornalisti, il conservatore Jase Robertsone il progressista David Dayen che, hackerati da settimane, sono stati usati per truffare vari utenti, attraverso la finta vendita di MacBook il cui ricavato (600 euro a macchina) avrebbe dovuto andare in beneficenza, e che invece è finito ai criminali, senza possibilità di rimborso o quasi in quanto eseguito mediante canali peer to peer come Zelle, Cashapp o Apple Pay. Secondo i giornalisti in questione, i loro account avrebbero continuato a truffare nonostante i ticket aperti presso l’assistenza a Twitter, anche a fronte di informazioni supplementari fornite e nonostante la segnalazione in chiaro all’account di Twitter Support. 

Come se non bastasse, secondo quanto confermato dal relativo supporto, non funziona più l’integrazione di Twitter con lo strumento di collaborazione aziendale Slack, e non v’è una timeline prevista per un eventuale fix. 

Nel frattempo, secondo il leaker Alessandro Paluzzi, Twitter è impegnato a definire il come potrebbe funzionare la formattazione dei tweet. Da un’analisi del codice condotto dall’azienda di product intelligence Watchful.ai arriva un’altra analisi del codice dalla quale si è scoperto che Twitter sta testando (non è chiaro con quanti utenti) per gli abbonati a Blue una modalità di verifica degli account che prevede l’invio (fronte-retro) di un documento d’identità governativo, oltre che di un selfie.

Infine, Twitter, secondo quanto riferisce Musk, “renderà open source tutto il codice utilizzato per consigliare i tweet il 31 marzo“. 

Continua a leggere su Fidelity News