Il New York Department of Financial Services (NYDFS) ha pubblicato un lungo report che analizza l'impatto dell'hack di Twitter dello scorso luglio, che ha portato al furto di oltre 118.000 dollari in Bitcoin (BTC). 

Il NYDFS afferma che, ben oltre l'immediato impatto materiale, l'incidente ha messo a nudo le profonde debolezze della sicurezza informatica di una società di social media dal valore di 37 miliardi di dollari, quotata in borsa, e che conta oltre 330 milioni di utenti attivi mensili. L’evento, infatti, ha avuto gravi conseguenze, alla luce della sempre maggiore influenza della piattaforma sia sui mercati finanziari che sulla sfera politica.

Due capitoli fondamentali del report, pubblicato il 14 ottobre, affrontano l'impatto dell'attacco hacker a Twitter su alcune società crypto titolari di licenza NYDFS, e chiariscono come queste aziende abbiano agito per proteggere i loro clienti dalle frodi. L'ente governativo ha anche chiesto alle imprese quali soluzioni potrebbero essere applicate per evitare che un simile attacco accada di nuovo in futuro.

L'agenzia osserva che nella terza fase dell'hack, gli aggressori hanno preso di mira gli account Twitter di alcune compagnie crypto, tra cui alcune regolamentate dall’NYDFS. Queste ultime "hanno risposto rapidamente, bloccando gli indirizzi coinvolti e dimostrando così la maturità del mercato delle criptovalute di New York. [...] Le loro azioni dimostrano che New York continua a stabilire standard elevati e ad attrarre solo gli investitori più responsabili". 

Coinbase, Gemini e Square, tutte società che forniscono servizi di custodia i cui account Twitter sono stati hackerati, hanno rapidamente bloccato gli indirizzi Bitcoin pubblicati dai malintenzionati sul social. Secondo il sondaggio del NYFDS, ciascuna delle società ha agito sugli address coinvolti entro 40 minuti dalla violazione. 

Quindici delle aziende crypto intervistate hanno bloccato i trasferimenti agli indirizzi sospetti, mentre sette non lo hanno fatto. Il report rileva che alcune società hanno modelli di business diversi e non gestiscono direttamente i servizi di custodia e di trasferimento, il che potrebbe spiegare la loro inerzia.  

Nello specifico, Coinbase ha bloccato circa 5.670 trasferimenti, per un valore di circa 1.294.000$; Square 358, pari a circa 51.000$; Gemini solo due, equivalenti a 18.000$; Bitstamp, infine, ha fermato una singola transazione da 250$. 

L'altro obiettivo del sondaggio e del report NYFDS è stato quello di analizzare quali misure di sicurezza sono state adottate dalle imprese crypto per proteggere i loro account sui social media a seguito dell'hackeraggio.

Infine, l’NYDFS ha raccolto le raccomandazioni più importanti per rafforzare la sicurezza in futuro: in particolare si consiglia l'utilizzo di password forti e uniche, il monitoraggio degli account dei social media per i post non autorizzati e l'utilizzo dell'autenticazione multi-fattore, pur con l'avvertenza di non basarla sugli SMS a causa della loro suscettibilità agli hacker. Inoltre, viene fortemente suggerito di limitare il numero dei dipendenti che possono accedere agli account dei social media aziendali. 

Contestualizzando l’hack, NYFDS osserva che nel 2019 milioni di persone in tutto il mondo hanno perso più di 4,3 miliardi di dollari a causa di truffe crypto: la cifra è in aumento rispetto ai soli 650 milioni di dollari del 2018. Sfruttando la pandemia, i truffatori hanno già rubato oltre 380 milioni di dollari nella prima metà del 2020.

Una tattica molto utilizzata dai malintenzionati è quella di impersonare volti noti dell’economia o della politica, come Elon Musk: in particolare, vari truffatori che fingono di essere il noto imprenditore sudafricano hanno già sottratto quasi 200.000 dollari in Bitcoin. La ripetuta incidenza di problemi di questo tipo ha spinto Musk ad avvertire i suoi follower su Twitter: 

"Fate delle segnalazioni appena vi accorgete di qualcosa di strano. I troll e le reti di bot su Twitter sono un problema *serio*, perché condizionano negativamente il dibattito pubblico e truffano le persone. Si tratta di un sistema probabilistico: ridurre l'esposizione degli utenti sarebbe già un notevole passo avanti."