Retroscena
«The Sims» festeggia 25 anni – uno sguardo al passato
di Michelle Brändle
La tecnica spaventosamente semplice dietro l'hacking dell'account Twitter di Jack Dorsey
3.9.2019
Traduzione: tradotto automaticamente
L'account Twitter del CEO Jack Dorsey è stato in mani non autorizzate per 15 minuti. Le persone non autorizzate hanno ottenuto l'accesso con l'aiuto dello scambio di SIM. Puoi leggere qui perché Twitter è così vulnerabile a questo hack.
Chuckling Squad, come si definisce il gruppo responsabile, ha pubblicato messaggi antisemiti e un link al suo canale Discord a nome del CEO di Twitter. Poco dopo, l'inconveniente è stato risolto e i tweet sono stati rimossi. Questo incidente dimostra che anche il capo di una grande azienda di social media non è protetto da accessi non autorizzati. Ma come è potuta accadere una cosa del genere?
Cloudhopper: una benedizione e una maledizione
Gli hacker hanno ottenuto l'accesso tramite un servizio di text-to-tweet: Cloudhopper - il nome dell'azienda che sta dietro al servizio - permette agli utenti di Twitter di inviare i loro tweet come messaggi di testo a un numero breve e di pubblicare così i loro 280 caratteri. Una funzione utile per tutti coloro che non hanno uno smartphone o non possono accedere all'app o al sito di Twitter.
Tutto ciò che devi fare è collegare il tuo numero di telefono al tuo account Twitter. Molti utenti hanno già questo collegamento per motivi di sicurezza - che ironia. In questo modo un hacker ha solo bisogno di controllare il tuo numero di telefono e tu non ti accorgerai nemmeno che qualcuno sta twittando a tuo nome.
Aggiornamento del 05.09.19: Per una buona ragione, Twitter ha temporaneamente disabilitato
la funzione text-to-tweet.
(Non) è un bug del sistema
Ottenere il controllo di un numero di telefono sembra difficile. Fondamentalmente sì, ma non impossibile, come dimostra il caso Dorsey. Secondo un tweet - ironia numero due - la Chuckling Squad ha ottenuto l'accesso al numero dell'amministratore delegato di Twitter a causa di un errore (umano) del gestore di telefonia mobile.
Anche se il gestore di telefonia mobile ha parlato di una svista, questa tattica non è nuova. Conosciuta anche come SIM hacking, gli sconosciuti ottengono il controllo del tuo numero di telefono convincendo il tuo provider a sovrascrivere il tuo numero di telefono su una nuova scheda SIM. Ovviamente, credono che questo sia nel tuo interesse. Da qui il termine "svista".
Troppo facile essere sicuri?
Normalmente, questa tecnica viene utilizzata per i furti di Bitcoin o di profili Instagram. Nella maggior parte dei casi, una password trapelata è tutto ciò di cui i criminali online hanno bisogno per prendere il controllo. Con un PIN del tuo gestore di telefonia mobile, puoi proteggerti anche da queste attività criminali. Puoi anche rendere il tuo account più sicuro utilizzando un'identità virtuale e artificiale, ma questo richiede più delle conoscenze tecniche di base di cui dispone l'utente medio di telefonia mobile.
E' proprio per questo motivo che i criminali online hanno bisogno di un'identità virtuale.
È proprio per la relativa semplicità di questo attacco - gli hacker non sono certo utenti medi - che lo scambio di SIM è così popolare tra i criminali informatici. E, come dimostra il caso Dorsey, con successo.
È un bene che nessuno lo sappia...
Le ragazze e i ragazzi di Chuckling Squad hanno messo in atto questa strategia per diversi anni. Decine di influencer di Insta e celebrità di YouTube hanno già dovuto crederci. Che si tratti di immagini inquietanti o di citazioni razziste, i teppisti online non si fermano davanti a nulla. E non si nascondono nemmeno, anzi. Ogni volta che citano il loro nome negli account hackerati, sia tramite hashtag che nei live stream. Come nel caso di Dorsey, cercano anche di convincere le persone che apprezzano le loro offerte a unirsi ai loro server Discord o a seguirli su Twitter.
Aqua, il leader di questa losca banda online, e i suoi soci che la pensano allo stesso modo sembrano aver preso in particolare considerazione AT&T negli Stati Uniti, il fornitore del CEO di Twitter. Non è ancora chiaro perché gli hacker di AT&T riescano così spesso a ottenere il controllo dei numeri di telefono altrui. Finora non è stato chiesto al conglomerato americano di rilasciare una dichiarazione davanti al microfono.
Il vecchio schema riconfezionato
Il Dorsey hack o la procedura di scambio di SIM esistono da molto più tempo della stessa Chuckling Squad. Dopotutto, qualsiasi sistema che faciliti la creazione e l'invio automatico di un tweet da parte dell'utente rende più facile per qualsiasi malintenzionato online impossessarsi dell'account dell'utente senza autorizzazione.
Tre anni fa, Dorsey fu vittima di un attacco online. All'epoca, gli hacker inviavano tweet indecenti a nome del CEO di Twitter tramite plugin di terze parti autorizzati che non venivano più utilizzati ma che avevano comunque accesso all'account. Quando la tecnologia di scambio di SIM ha conosciuto un boom e tali plugin non erano più necessari, anche gli hacker sono passati all'altra soluzione.
Twitter, quo vadis?
Ok, lo scambio di SIM e simili non sono una novità. E non è nemmeno la prima volta che Jack Dorsey cade nella trappola degli hacker. Eppure la domanda formulata all'inizio rimane ancora valida: come è potuto accadere?
Ovviamente l'incidente è imbarazzante per Twitter. Ma l'imbarazzo di questo passo falso non può essere paragonato al cibo avanzato in un dente cariato o alle macchie su una cravatta. Si tratta di una grave vulnerabilità della sicurezza digitale, ben nota. Non solo gli esperti, ma anche i non addetti ai lavori sono consapevoli delle possibilità e dei pericoli dello scambio di SIM da quasi un decennio.
Questo incidente dimostra che il problema non è stato risolto.
Questo incidente dimostra una grande ignoranza da parte di Twitter e dei suoi manager. Il gigante dei social media è anche colpevole di una mancanza di intuizione quando si tratta di sicurezza e privacy degli account degli utenti. Twitter è diventato un po' vecchio?
Speriamo che questo incidente serva finalmente da lezione a Twitter e che l'azienda con l'uccello prenda le distanze dalla verifica degli SMS.
Immagine di copertina: Nuvole scure all'orizzonte di Twitter - e la sicurezza degli account? Fonte: THE BUSINESS TIMES
Raphael Knecht
Senior Editor
raphael.knecht@digitecgalaxus.chSe non mi sto cibando di "ciugnate" dolci a volontà vuol dire che sono in qualche palestra: l’unihockey è una mia grande passione, sia come giocatore che come allenatore. Nei giorni di pioggia puoi scovarmi ad avvitare e svitare i miei PC, robot o altri giocattoli elettronici. La musica mi accompagna costantemente. La vita sarebbe dura senza giri in bici sulle strade di montagna ed intense sessioni di sci di fondo.
Informatica
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.
Informatica
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.
5 commenti
later