L'hacking di Twitter può essere riassunto così: «Il re è nudo»

Twitter ha subito il più grave attacco nella storia dei social network. Una violazione che di fatto mostra la fragilità dei colossi digitali e ripropone in maniera dirompente la questione relativa alla tutela dei dati e alle nostre informazioni, che queste aziende private gestiscono.

Siamo ormai abituati a sentire notizie di Data Breach con relativo furto di dati e credenziali degli utenti. La storia digitale è lastricata di violazioni che hanno coinvolto da Facebook a Linkedin. Solo a inizio anno, Facebook ha confermato che milioni di password Instagram non crittografate erano state memorizzate in un database non protetto da password e quindi accessibile a chiunque.

La violazione di Twitter

La violazione di Twitter è differente e, di fatto, devastante. Non stiamo parlando di un «semplice» data breach con esfiltrazione dei dati, ma di una serie di furti di identità di profili noti e famosi e di relativa truffa diretta agli utenti della stessa piattaforma social.

A partire da mercoledì, gli account Twitter di alcuni dei più importanti utenti della piattaforma hanno iniziato a inviare messaggi di truffa che promettono incredibili guadagni grazie ai Bitcoin. Le vittime includono un «who's who» di Twitter, tra cui l'ex presidente Barack Obama, il candidato alla presidenza americana del Partito Democratico Joe Biden, il fondatore di Microsoft Bill Gates, il CEO di Space X e Tesla Elon Musk, il CEO di Amazon Jeff Bezos e il magnate dell'editoria Michael Bloomberg; oltre a un numero ancora sconosciuto di altri account verificati e non su Twitter.

Come sia avvenuto l'attacco informatico non è ancora stato confermato al 100%. Il numero di account e il livello di «influencing» e «autorevolezza» dei profili Twitter violati ha fatto supporre che l'attacco non sia stato condotto direttamente sugli stessi account, ma si suppone che l'infrastruttura stessa della piattaforma Twitter sia stata compromessa.

In una dichiarazione twittata mercoledì pomeriggio, Twitter Support ha detto di essere a conoscenza del problema e, poco dopo, ha avvertito gli utenti che potrebbero non essere «in grado di twittare o reimpostare la password» mentre l'azienda indagherà sull'incidente.

La truffa, tra l'altro, sembra aver funzionato. Al momento, all'account Bitcoin collegato ai messaggi di spam, sono stati inviati 12,86 Bitcoin, per un valore di poco superiore a $118.000 dato l'attuale tasso di cambio. È stato inoltre dimostrato che l'attacco era stato pianificato con largo anticipo.

Secondo la società RiskIQ, una rete «tentacolare» di quasi 400 domini web era stata creata in anticipo per sostenere la truffa.

Tra questi figurano domini come billgatescoins.com e muskgive.com, il che suggerisce che gli aggressori hanno tenuto d'occhio gli account di alto profilo e hanno verificato con cura ogni passo prima di lanciare l'attacco.

Come è avvenuto l'attacco informatico su Twitter?

Al momento possiamo solo fare supposizioni e congetture. Ma possiamo avanzare alcune ipotesi:

Sfruttamento di una vulnerabilità

Il Criminal hacker potrebbe aver sfruttato qualche vulnerabilità di un servizio esposto su Internet permettendogli di accedere direttamente nella rete interna di Twitter stessa.

Credential Stuffing

Tramite il servizio di Domain Threat Intelligence sono state identificate oltre 81.800 email @twitter.com compromesse.

Stiamo parlando di email aziendali che i dipendenti di Twitter hanno usato per registrarsi su siti di terze parti; siti che hanno subito un databreach.

Sul Dark web sono così disponibili email e password. Queste coppie di email/password possono essere usate eventualmente su form di accesso e/o di registrazione esposto su Internet.

Nell'elenco degli 81.800 email compromesse potrebbero essere presenti utenti con poteri di amministratore del sistema: Utenti con privilegi di admin.

Smartworking e Botnet

C'è anche la concreta possibilità che l'account da cui è stato ottenuto l'accesso sia stato compromesso durante il lockdown.

La grande diffusione dello smart working durante il picco della pandemia di Covid-19 ha infatti costretto tantissimi lavoratori a «portarsi il lavoro in casa».

Questo concretamente ha significato un enorme abbassamento del livello di Cyber Security in cui molti si sono trovati ad operare. Stiamo parlando dell'utilizzo di computer personali, router non sicuri, condivisione della Rete con parenti o coinquilini, solo per citare alcuni esempi. Tutto un altro scenario rispetto a quanto succede normalmente all'interno del perimetro di un'azienda.

Non dovremmo stupirci se un'attività di Cyber Threat Intelligence potrebbe identificare la presenza di dispositivi personali, relativi ai dipendenti di Twitter, infettati da Botnet (una rete controllata da un Criminal Hacker composta da dispositivi infettati da un malware). Le Botnet permettono all'attaccante di «leggere» tutto quello che viene effettuato dalla macchina vittima: comprese le possibili credenziali di accesso alla rete aziendale per esempio di twitter stessa.

Ricordiamoci che il 13 Maggio, Twitter comunicava al mondo che avrebbe consentito ai suoi dipendenti di lavorare a casa per sempre.

Un Complice Interno a Twitter

Anche se le speculazioni si rincorrono ancora e non ci sono state conferme, secondo una fonte della scena underground del Criminal Hacking, che ha parlato con il sito TechCrunch, l'autore della truffa si fa conoscere online come «Kirk» ed è stato proprio lui ad accaparrarsi in poche ore gli oltre 100.000 dollari.

L'attaccante è riuscito, forse con la complicità di un dipendente di Twitter, ad ottenere l'accesso a uno strumento interno del social, che ha usato per prendere il controllo degli account delle «celebrità».

Il Criminal Hacker dicono abbia utilizzato lo strumento per reimpostare gli indirizzi e-mail associati agli account interessati in modo da rendere più difficile per il proprietario riprenderne il controllo.

Uno screenshot che sta cominciando a girare in Rete mostra l'apparente strumento riservato all'amministrazione della piattaforma. (Twitter sta rimuovendo i tweet e sospendendo gli utenti che lo condividono).

Lo strumento serve per consentire agli utenti - apparentemente i dipendenti di Twitter stesso, come detto - di controllare l'accesso all'account di un profilo, compresa la modifica dell'e-mail associata all'account e persino la sospensione totale dello stesso.

La fonte che ha rivelato queste informazioni non ha detto esattamente come Kirk abbia avuto accesso agli strumenti interni di Twitter.

Come parte della sua campagna di hacking, Kirk ha preso di mira prima @binance (la piattaforma di trading per le cripto-valute), per poi passare rapidamente ai popolari account di criptovaluta ed infine alle «celebrità».

La Truffa di Twitter

Per riottenere il controllo della piattaforma, Twitter ha brevemente sospeso alcune azioni dell'account - oltre a impedire agli utenti verificati di twittare - in un apparente sforzo per arginare le violazioni a cascata degli account. L'azienda ha poi twittato che: «Stava lavorando per far tornare le cose alla normalità il più velocemente possibile».

Social o non Social

Questo «incidente» può anche essere un ulteriore spunto di riflessione. I social, oggi, sono i più grandi gestori e detentori di dati personali in circolazione. Ma continuiamo a leggere sulle prime pagine dei giornali di violazioni, sviste, utilizzo improprio delle nostre informazioni… un continuo susseguirsi di «grattacapi» che dovrebbero farci sorgere la domanda: «Sono veramente in grado di gestire questo patrimonio? Hanno le competenze giuste?».

Vista la facilità con cui vengono compromessi regolarmente i profili di personaggi di primo piano, a questo punto, quanto saranno credibili i post delle celebrità e influencer?

Il Re è nudo!