NEWS

I dati personali di 400 milioni di iscritti a Twitter in vendita online: chiesto riscatto a Elon Musk

L’archivio di dati di tutti gli iscritti a Twitter (presenti e passati) è stato messo in vendita da un utente di nome Ryushi, su un popolare forum dedicato alla vendita di informazioni provenienti da data breach. Il venditore afferma che il database è privato e a dimostrazione dell’autenticità ha pubblicato un campione di 1000 account che includono anche informazioni riservate di utenti di spicco come Donald Trump JR, l’esperto di sicurezza Brian Krebs e molti altri.

I dati di 400 milioni di iscritti a Twitter sono in vendita online: chiesto il riscatto a Elon Musk

Ryushi auspica di poter concludere una vendita esclusiva a un singolo acquirente, invitando proprio Twitter ed Elon Musk ad acquistare i dati per evitare sanzioni legali disposte da regolamenti come il GDPR: “Twitter o Elon Musk, se stai leggendo questo, stai già rischiando una multa GDPR per la violazione dei dati di oltre 5,4 milioni di utenti, immaginate quanto possa essere la multa per la divulgazione dei dati di 400 milioni di utenti. La vostra migliore opzione per evitare di pagare 276 milioni di dollari di multa per aver violato il GDPR come ha fatto Facebook (a causa dello scraping di 533 milioni di utenti) è acquistare esclusivamente questi dati”, si legge nell’annuncio pubblicato sul forum da Ryushi.

Ma quali dati sono presenti nell’archivio messo in vendita? Il database include mail e numeri di telefono di celebrità, politici, aziende e ovviamente persone normali, informazioni che potrebbero essere utilizzate sia da criminali informatici per realizzare frodi di vario genere sia da attaccanti nation-state per attacchi mirati.

Il venditore ha inoltre annunciato che la vendita è coperta dal servizio di escrow (in campo immobiliare è quello che si definisce acconto) offerto dall’amministratore del forum, pompompurin: garantisce al venditore che l’acquirente riceva l’archivio solo dopo aver effettuato il pagamento e anche garantisce che il pagamento venga disposto sono quando il bene acquistato sia conforme a quello dichiarato e verificato dal soggetto che offre l’escrow.

Al momento non è possibile verificare le affermazioni del venditore, ma l’annuncio di un nuovo data leak rappresenta l’ennesimo brutto colpo per Twitter che vive un periodo turbolento a causa del cambio di proprietà e di alcune scelte strategiche prese dal management che hanno causato una fuga in massa di una parte del personale: soltanto venerdì scorso, la Commissione irlandese per la Protezione dei dati ha aperto un'indagine sul social per una violazione dei dati emersa in agosto che, secondo quanto riferito, ha impattato circa 5,4 milioni di utenti.

Ipotizzando che i dati siano tutti autentici, come è possibile che una singola persona sia riuscita a venirne in possesso? Così ha risposto alla domanda Alon Gal, esperto di sicurezza, fondatore della società di intelligence Hudson Rock: “È sempre più probabile che i dati siano validi e che siano stati probabilmente ottenuti da una vulnerabilità nelle interfacce di programmazione (API, ndr) che ha consentito agli attaccanti di interrogare i sistemi della piattaforma per ottenere mail e telefono di qualsiasi profilo Twitter. La falla è simile a quella sfruttata nel caso del data leak di Facebook che ha consentito di accedere ai dati di 533 milioni di utenti e che ha comportato una multa di 275 milioni di dollari a Meta”.

Gal ha poi fornito un aggiornamento in merito alla scoperta, secondo cui Twitter avrebbe indetto una sorta di contest in cui si sostiene che il database di 400 milioni di utenti Twitter annunciato sarebbe in realtà quello da 5,4 milioni di agosto. Cosa che però sarebbe falsa: “Questo è facilmente smentito confrontando i campioni nella nuova fuga con la vecchia versione da 5,4 milioni che era già trapelata pubblicamente - ha spiegato - Nell’ultimo archivio solo 250 account dei 1000 rilasciati come prova appartengono al leak di agosto (il conteggio sarebbe stato inferiore se fosse stato un campione di account non verificati, ndr). Non posso condividere alcune informazioni sensibili che ho, ma con il passare del tempo sono più convinto che si tratti di una fuga di 400 milioni di utenti e, come sempre, purtroppo finità gratuitamente nelle mani di ogni hacker”.

Se confermato, insomma, ci troveremo dinanzi a un immenso volume di dati in disponibilità degli attaccanti con gli utenti di Twitter esposti a ogni genere di violazione. Preoccupa anche la modalità con la quale questo genere di incidenti viene gestita dalle aziende colpite, soprattutto di come si comunica l’evento al pubblico e agli utenti coinvolti nell’incidente.

Fonte: Repubblica - di Pierluigi Paganini

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev La Regione Veneto sanzionata per aver violato la privacy dei sanitari 'no vax'
Next Videosorveglianza: un rivoluzionario software-spia permette di intromettersi nelle telecamere e modificare le immagini

Caffè Privacy: l'interessato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy