Dopo Facebook, ora è allarme Twitter. Il social network ha annunciato di aver trovato un bug nel modo in cui memorizza e conserva le password dei suoi utenti, diminuendo il livello di protezione da possibili attacchi hacker. A rischio la sicurezza di oltre 330 milioni di profili.
“A causa di un bug, le password erano visibili e sono state scritte su un registro interno prima di completare il processo”, ha fatto sapere il social media in un post sul suo blog. “Abbiamo riscontrato questo errore, cancellato le password (dal registro) e stiamo implementando piani per evitare che questo bug si verifichi di nuovo”. Il gruppo ha chiesto agli oltre 330 milioni di utenti di cambiare le loro password. La notizia è arrivata a mercati chiusi, dopo che il titolo aveva chiuso in rialzo dello 0,39% a 30,67 dollari ad azione. Nel dopo mercato le azioni hanno subìto un crollo del 3%.
“Cambiate password”. Cosa è andato storto?
“Cambiate password”. È l’invito lanciato da Twitter ai suoi 330 milioni di utenti. Ma, tecnicamente, cosa è andato storto?
Quando un utente imposta una password per il suo account, Twitter utilizza una tecnologia che la maschera in modo che nessuno in azienda possa vederla. “Mascheriamo le password attraverso un processo chiamato hashing usando una funzione conosciuta come bcrypt, che sostituisce la password effettiva con un insieme casuale di numeri e lettere che sono memorizzati nel sistema di Twitter. Ciò consente ai nostri sistemi di convalidare le credenziali dell’account senza rivelare la password”. Questa è la prassi.
Però, a causa di un bug, le password di 330 milioni di utenti erano visibili nei sistemi interni della società, perché sono state trascritte in chiaro su un registro prima di completare il processo di hashing.
Una falla molto pericolosa. Gravissima.
Sebbene Twitter abbia cercato di rassicurare utenti e azionisti: “Non abbiamo motivo di credere che le informazioni sulle password abbiano mai lasciato i sistemi di Twitter o siano state utilizzate in modo improprio da chiunque”.
Non abbiamo motivo di credere non significa avere la certezza che i profili degli utenti non siano stati spiati da occhi esterni.
Per mettere a sicuro la nostra privacy su Twitter non è sufficiente cambiare la password.
- La soluzione migliore per proteggere il profilo è attivare la verifica dell’accesso, nota anche come autenticazione a due fattori: a ogni accesso si riceve via sms un codice.
Twitter, come si attiva l’accesso a due fattori
Per effettuare l’accesso al tuo profilo Twitter, invece di inserire solo la password, dovrai inserire anche un codice che viene inviato al tuo telefono. Questa verifica serve ad assicurare che tu, e solo tu, possa accedere al tuo account.
Dopo aver abilitato questa funzione, per accedere al tuo account dovrai disporre della tua password e del tuo telefono. Quando accederai a twitter.com, Twitter per iOS, Twitter per Android o mobile.twitter.com, riceverai un codice di accesso a sei cifre da inserire. Per impostazione predefinita, riceverai questo codice via SMS. In alternativa, puoi scegliere di verificare l’accesso tramite un’app di terze parti.
Nota: se vuoi configurare la verifica dell’accesso, devi avere un numero di telefono associato al tuo account Twitter. Ciò ti permetterà di recuperare il tuo account in caso di necessità e di avere un’opzione di riserva per ricevere un codice. Se gestisci più account collegati allo stesso numero di telefono, puoi utilizzare la verifica dell’accesso per ciascun account. Per maggiore sicurezza, ti consigliamo di abilitare la verifica dell’accesso in tutti gli account.
Per impostare la verifica dell’accesso su Twitter
- Nel menu in alto, clicca sull’icona del tuo profilo e poi su Impostazioni e privacy.
- Clicca sulle impostazioni dell’Account e poi su Configura la verifica dell’accesso.
- Leggi le istruzioni generali, quindi clicca su Inizia.
- Inserisci la tua password e clicca su Verifica.
- Per aggiungere il tuo numero di telefono, clicca su Invia codice.
Nota: se hai già un numero di telefono associato al tuo account Twitter, ti invieremo un SMS per confermare il numero. - Inserisci il codice di verifica inviato al tuo dispositivo, quindi clicca su Invia.
- Clicca su Ottieni codice di backup per visualizzare un codice generato da Twitter. Ti consigliamo di salvare uno screenshot del codice, nel caso dovesse servirti in futuro. In questo modo ti sarà più facile accedere al tuo account se perdi il telefono o cambi numero.
Quando accederai al tuo account su twitter.com, Twitter per iOS, Twitter per Android o mobile.twitter.com, riceverai sul tuo telefono un SMS contenente un codice di accesso a sei cifre. Inserisci il codice quando ti viene richiesto di accedere all’account.
Per scegliere un tipo di verifica dell’accesso su Twitter
Puoi scegliere di utilizzare un’app di terze parti separata per generare un codice di accesso
- Nel menu in alto, clicca sull’icona del tuo profilo e poi su Impostazioni e privacy.
- Clicca su Account e poi su Sicurezza.
- L’opzione SMS è attiva per impostazione predefinita. Clicca su Modifica per non ricevere più codici via SMS. Se la selezione dell’App per la sicurezza è disabilitata, ti sarà richiesto di abilitarla.
Per configurare l’utilizzo di un’app di terze parti separata per la verifica dell’accesso su Twitter
Puoi utilizzare Google Authenticator, Duo Mobile, Authy o altra app di autenticazione di terze parti installata sul tuo dispositivo mobile.
- Nel menu in alto, clicca sull’icona del tuo profilo e poi su Impostazioni e privacy.
- Clicca sulla scheda Account.
- Nella sezione Sicurezza, accanto a Verifica dell’accesso, clicca sul pulsante Rivedi i metodi di verifica dell’accesso per iniziare.
- Inserisci la tua password e clicca su Conferma.
- Tra le opzioni disponibili, clicca su Configura accanto ad App per la sicurezza.
- Leggi le istruzioni, quindi clicca su Inizia.
- Se ti viene chiesto di verificare la tua password, inseriscila e clicca su Verifica.
- Vedrai una finestra a comparsa che mostra un codice QR. Segui le istruzioni indicate.
- Per configurare l’app di autenticazione di terze parti, dovrai eseguire la scansione del codice QR. A questo punto vedrai un codice di sicurezza composto da 6 cifre.
- Inserisci il codice nel campo di testo Codice di sicurezza presente nella finestra a comparsa.
- Clicca su Fatto.