Twitter ha riconosciuto che un difetto nella sua programmazione è stata la causa principale di una violazione dei dati avvenuta verso la fine del 2017. L’azienda ha divulgato queste informazioni in un post sul blog pubblicato venerdì, affermando che un attore ostile ha sfruttato un difetto prima che l’azienda scoprisse e correggesse il problema nel gennaio 2022. Un ricercatore di sicurezza ha contattato Twitter tramite il programma di ricompense dei bug della piattaforma dopo aver scoperto la vulnerabilità e averlo segnalato all’azienda.
Twitter ha dichiarato di non avere “prove” per implicare che la vulnerabilità fosse stata sfruttata quando inizialmente è venuto a conoscenza del bug. Tuttavia, una persona che desidera rimanere anonima ha rivelato a Bleeping Computer un mese fa di aver sfruttato la vulnerabilità per raccogliere informazioni su oltre 5,4 milioni di account.
Twitter ha riferito che non ci sono prove di attacchi hacker
Twitter ha dichiarato di non essere in grado di confermare il numero di utenti i cui account sono stati compromessi dalla divulgazione. A causa della vulnerabilità, l’attore malintenzionato è stato in grado di determinare se un particolare indirizzo e-mail, numero di telefono o entrambi erano associati o meno a un account Twitter esistente. Potrebbero quindi utilizzare tali informazioni per capire chi è il proprietario di un determinato account.
“Stiamo pubblicando questo aggiornamento perché non siamo in grado di confermare tutti gli account potenzialmente interessati e siamo particolarmente attenti alle persone con account pseudonimi che possono essere presi di mira dallo stato o da altri attori”, ha affermato Twitter. “Stiamo pubblicando questo aggiornamento perché siamo particolarmente attenti alle persone con account pseudonimi che possono essere presi di mira dallo stato o da altri attori”. “Se mantieni un account Twitter pseudonimo, tieni presente che ci rendiamo conto dei rischi che un evento come questo potrebbe presentare e siamo profondamente dispiaciuti che ciò sia avvenuto”.
Twitter ha dichiarato che contatterà personalmente ogni proprietario di account che può verificare come compromesso dall’esposizione. Se un utente desidera mantenere nascosta la propria identità, l’azienda suggerisce di non collegare un numero di telefono o un indirizzo e-mail che è già di dominio pubblico al proprio account. Inoltre, consiglia di utilizzare l’autenticazione a due fattori.