Sarebbero troppi i dipendenti di Twitter a poter resettare gli account degli utenti e modificare le loro impostazioni di sicurezza. Questo problema era stato presentato già nel 2015 a Jack Dorsey, CEO della società, ed al resto del consiglio di amministrazione.
Secondo Bloomberg, Twitter fornirebbe le autorizzazioni per resettare gli account e verificare eventuali violazioni della sicurezza a oltre 1.500 impiegati. A fronte di questa notizia, alcuni analisti si sono chiesti se l’enorme hack del 15 luglio non si sarebbe potuto evitare, qualora fossero state messe in campo misure più tempestive.
I dubbi sulla sicurezza di Twitter non sono nuovi
Il report chiarisce come queste credenziali fornissero alla maggior parte dei dipendenti della divisione security del social network solo un “accesso limitato” agli account. Gli esperti di sicurezza di Bloomberg fanno tuttavia notare come tale accesso potesse essere usato come punto di partenza per "spiare o addirittura hackerare un account”.
La sezione denominata “Risk Factors” del report annuale 10-K di Twitter, depositata nel 2015 presso la Security Exchange Commission (SEC) degli Stati Uniti, conferma che i dirigenti della società erano stati avvisati da molto tempo dei potenziali rischi:
“Le nostre misure di sicurezza potrebbero essere violate a causa di un errore umano, intrusioni illecite o altro. Inoltre, dei soggetti esterni potrebbero tentare di convincere con l’inganno dipendenti, utenti o advertiser a fornire le loro informazioni riservate per accedere ai nostri dati o ai dati dei nostri utenti o advertiser, o potrebbero ottenere l’accesso a questi dati o account.”
Già nel 2017 dei freelance avevano condotto dei test per risolvere questi problemi
Bloomberg sottolinea come, sia nel 2017 che nel 2018, alcuni freelance che lavoravano per Twitter crearono un “gioco” che consisteva nel sommergere l’help-desk di false richieste, consentendo loro di accedere agli account di varie celebrità. Utilizzarono questi accessi per tracciare dati personali e scoprire dove si trovassero alcune persone, risalendo all’indirizzo IP.
Il report 10-K di Twitter relativo al 2020 faceva riferimento ad “accessi di terzi non autorizzati”:
“Terzi non autorizzati potrebbero riuscire ad accedere a nomi utente e password senza attaccare direttamente Twitter, oppure usare credenziali provenienti da altre falle di sicurezza così da iniettare dei malware nelle macchine delle vittime per rubare le loro password, o una combinazione di queste due metodologie.”
Il recente “Twitter Hack” ha permesso ai criminali di lanciare un finto giveaway di Bitcoin (BTC) tramite gli account di numerose celebrità, tra cui Joe Biden, Elon Musk, George Wallace, Bill Gates, Kanye West, Kim Kardashian, Wiz Khalifa, Warren Buffett, Mike Bloomberg, Barack Obama e Jeff Bezos.
La redazione di Cointelegraph Italia ha recentemente intervistato Paolo Dal Checco, esperto di sicurezza informatica, per discutere di questo attacco hacker.