Milioni di password di Twitter sono state rese pubbliche

Twitter ha chiesto tramite email a diversi milioni di suoi utenti di cambiare la password con cui accedono al social network, in seguito alla diffusione online di un elenco di 33 milioni di credenziali di accesso che avrebbero permesso a utenti malintenzionati di ottenere il controllo degli account. Tutti gli utenti interessati hanno già ricevuto una notifica e per ulteriore cautela l’accesso al loro profilo Twitter è stato sospeso: sarà ripristinato solo quando avranno aggiornato la password. Il social network non ha specificato il numero di account coinvolti, ma ha comunque confermato che si tratta di milioni di profili. Altri milioni di dati contenuti nell’elenco non erano aggiornati o si sono rivelati inutili per entrare su Twitter a nome di qualcun altro.

Micheal Coates, responsabile della sicurezza di Twitter, ha scritto in un post che difficilmente i dati circolati online sul cosiddetto “dark web” – la parte del Web accessibile con particolari programmi e più difficile da tenere sotto controllo dalle autorità – sono stati ottenuti compiendo un attacco informatico contro Twitter. L’ipotesi prevalente, sostenuta anche da altri esperti di sicurezza, è che l’elenco delle password sia stato messo insieme sfruttando le vulnerabilità su altri siti o software poco affidabili (malware), installati in modo inconsapevole dagli utenti e che sono in grado di rilevare le password usate nel proprio browser e inviarle a un computer remoto (server) che le raccoglie e indicizza.

LeakedSource, il sito che ha pubblicato i dati, sostiene la stessa ipotesi degli esperti di sicurezza secondo cui le informazioni sono state sottratte da malware e non da un attacco diretto contro Twitter. Ottenere le password direttamente da chi le gestisce per il proprio servizio è del resto più complicato, soprattutto se l’obiettivo è un’azienda piuttosto grande di Internet. Ci sono comunque stati casi in passato di violazioni dirette dei database di altre aziende, con milioni di password rese pubbliche o vendute agli hacker.

Wired alcuni giorni fa aveva intervistato un hacker che sosteneva di avere ottenuto, insieme ad altri, milioni di dati di accesso da vari servizi online compreso Twitter. Aveva spiegato di avere offerto le informazioni direttamente ad alcuni dei più grandi gestori di spamming online, senza però trovare un accordo. Per questo motivo aveva poi deciso di mettere i dati in vendita pubblicamente, confidando di ottenere qualche soldo in più. La sola vendita delle credenziali di accesso di milioni di utenti a LinkedIn, avvenuta di recente, ha fruttato intorno ai 20mila dollari.

Oltre a confermare il cambiamento di password per milioni di suoi utenti, Twitter ha raccomandato di aumentare il livello di sicurezza del proprio account. I consigli, che valgono per buona parte dei servizi online, sono: usare una password diversa per ogni sito, renderla elaborata a sufficienza con lettere, numeri e simboli; usare il sistema di doppia verifica per l’accesso, che di solito prevede l’inserimento di un codice ricevuto per SMS al proprio numero personale, senza il quale è impossibile collegarsi al servizio.