Joe Biden, Elon Musk, Jeff Bezos e Bill Gates. Ma anche Barack Obama, Michael Bloomberg, Apple e Uber sono stati coinvolti nel più grande hack della storia di Twitter.
Tutte vittime nell’ambito di quella che appare una maxi truffa sui Bitcoin.
Twitter hack: cosa è successo
Stanotte, da tutti gli account citati, sono partiti i tweet che promettevano di raddoppiare la cifra inviata ai loro indirizzi Bitcoin recitava il seguente testo: “Mi sento generoso, raddoppio tutti i pagamenti inviati al mio indirizzo BTC. Voi mi mandate 1.000 dollari e io ve ne mando indietro 2.000! Lo faccio solo per i prossimi 30 minuti“, è il tweet lanciato dall’account del patron di Tesla.
Simili quelli arrivati dagli account di Biden e Obama. “Voglio restituire alla comunità quello che mi ha dato. Tutti i Bitcoin inviati all’indirizzo allegato qui sotto saranno raddoppiati! Se inviate 1.000 dollari, vi manderò 2.000 dollari. Lo faccio solo per 30 minuti“, è il cinguettio partito dal candidato democratico alla Casa Bianca, l’ex vice presidente Biden.
La risposta di Twitter e il tonfo in borsa
Twitter ha cominciato rimuovendo i primi messaggi, che aumentavano in numero sempre maggiore con il passare dei minuti.
Il New York Times ha scritto che Twitter ha cominciato a disabilitare ampie parti del suo servizio, inclusa la possibilità di twittare per tutti gli account verificati per un paio d’ore e ha inviato una comunicazione per dire che stava indagando sul problema e cercando una soluzione.
“Giornata difficile per noi a Twitter. Ci sentiamo tutti male per quanto accaduto. Stiamo diagnosticando e condivideremo tutto il possibile quando avremo un quadro più chiaro di quanto accaduto“. Ha scritto Jack Dorsey, il fondatore e amministratore delegato di Twitter.
Il risultato più tangibile del tentativo di truffa, al netto di quelli che ci saranno cascati, è il tonfo di Twitter a Wall Street: i titoli dell’azienda sono crollati nelle contrattazioni after hours del 3,28%.
L’hack ha sfruttato una falla di Twitter?
Secondo quanto riportato dal sito The Verge l’indirizzo indicato nella truffa ha ricevuto versamenti per 104 mila dollari nel giro di poche ore, anche se non è dato di sapere se i soldi siano stati inviati da utenti ignari o dagli stessi pirati informatici.
The Verge ha scritto che probabilmente un gruppo di hacker, ha trovato una grave lacuna di sicurezza nel processo di accesso o recupero dell’account di Twitter o in quello di un’app di terze parti, oppure che è stato “rubato” l’accesso ai privilegi di amministratore di un dipendente Twitter.
Dopo un’iniziale ipotesi infatti che si trattasse di un’attività di social engineering perpetrata da un insider, sembra che questo hack esterno sia riuscito grazie a metodi più ‘tradizionali’ e cioè comprando la collaborazione di un dipendente interno (o rubando le credenziali) per accedere al tool di gestione che ha così consentito il takeover di account di alto profilo.
La questione del possibile furto delle credenziali di un dipendente alla base dell’hack sembra sia stata confermata da Twitter a Motherboard.
Edoardo Limone: ‘Serve trasparenza sulla gestione tecnica’
“Era il 2016 quando un importante provider internet, Yahoo, comunicò di essersi accorta con tre anni di ritardo, di un attacco che avrebbe esposto circa un miliardo di account a violazione da parte di hacker. Oggi è il turno di Twitter ed è importante considerare che fenomeni di questo tipo possano influenzare l’andamento dei mercati finanziari ma anche la politica di un Paese”, ha dichiarato a Key4biz Edoardo Limone, Specialista ICT e Cyber Security Expert.
“La necessità di maggiore trasparenza circa le tecniche di protezione usate ci spinge a considerare che la linea voluta dall’Europa (il GDPR) sia fondamentale oltre che necessaria. Non si tratta più di normali strumenti di comunicazione di massa, questi possono determinare le sorti di un Paese e pertanto la trasparenza nella loro gestione tecnica, finanziaria ed organizzativa dovrebbe essere nota e il meno opaca possibile”, ha concluso Limone.