È tutto il giorno che ci penso, se fare una diretta, un video messaggio, una puntata per il podcast oppure un post dedicato al hacking di Twitter, che nelle ultime 24 ore ha fatto parlare tutto il mondo.
Diciamo che in queste ore ho letto un sacco di riflessioni e solo una l’ho trovata molto in linea con quella che deve essere l’analisi da fare. Infatti, l’hacking di Twitter ci ha dimostrato che l’amministrazione del social network può pubblicare post per conto di qualsiasi utente. Attenzione questa cosa è molto più pericolosa di un qualsiasi data lake, di un qualsiasi danno di immagine oppure “censura” da parte della piattaforma.
Da quando lavoro con il web, ma soprattutto da quando passo il tempo all’interno dei social, per divertimento, non posso esimermi dall’affermare che questo incidente è uno dei più gravi per l’intera esistenza del progetto Twitter e nessuno fino ad oggi è riuscito ad essere colpito in questo modo.
In queste ore Twitter ha cercato di scusarsi e nel mentre scoprire che cosa è successo, quindi tra i suoi vari tweet lanciati attraverso l’account ufficiale Twitter Support (tra le altre cose uno di quelli colpito nelle scorse ore) possiamo leggere questa cosa
Abbiamo rilevato quello che riteniamo essere un attacco coordinato di ingegneria sociale da parte di persone che hanno preso di mira alcuni dei nostri dipendenti con accesso a sistemi e strumenti interni.
Ed ecco qui il punto fondamentale che tutti noi dovremo analizzare. Infatti, chi ha attaccato Twitter sapeva che grazie a questi strumenti interni avrebbero potutto fare quello che hanno fatto.
Quindi ecco che gli aggressori sono stati in grado di ottenere il controllo degli account di celebrità e marchi popolari, senza attaccarli in modo diretto, ma sfruttando direttamente le risorse interne alla piattaforma.
Questo ha permesso agli attaccanti di scrivere tweet a nome di Twitter Support, Jeff Bezos, Mike Bloomberg, Joe Biden, Brack Obama, Kenye West, Bill Gates, Apple, Uber, Elon Musk e tanti altri tra cui account di exchange come Biance. Tweet in cui i truffatori/criminali hanno chiesto di lanciare loro alcuni Bitcoin in cambio di un mega guadagno nel giro di pochi minuti.
Mentre il mondo tremava e cercava di capire che cosa sia successo, Twitter ha prontamente eliminato tutti i tweet pubblicati dai criminali informatici e le pubblicazioni limitate per gli account verificati fino alla risoluzione del problema. Infatti, i proprietari degli account limitati hanno potuto rispondere solo attraverso retweet ai loro follower.
È inutile dire che tutti si sono messi a caccia del o dei criminali informatici, quindi si va da coloro che affermano che l’attacco sia stato condotto dai soliti sospetti presenti in paesi come la Corea del Nord, Iran o Russi, mentre altri indicano che il colpevole sia un solo hacker solitario dal nome Kirk.
Adesso arriviamo al punto dolente della situazione, indipendentemente dalla nazionalità o identità del o dei criminali informatici, grazie a questo incidente abbiamo scoperto che Twitter ha uno strumento interno per controllare gli account presenti all’interno della propria piattaforma. Beh fin qui nulla di strano, anzi è la normalità, se non fosse che questo strumento a quanto pare da la possibilità all’utilizzatore di pilotare in massa gli account e quindi scrivere per conto degli utenti come se fossero loro a farlo.
Certo il problema in questo caso non si ferma qui, visto che attraverso questo strumento e come potete vedere da questi screenshot la persona che utilizza questo strumento interno ha addirittura accesso anche ad altre informazioni molto sensibili.
Questo strumento e questo attacco subito da Twitter dovrebbe farci riflettere molto su tre cose:
- nel 2020 esistono piattaforme che permettono ai propri dipendenti di accedere ai sistemi e alle risorse interne senza un two factor authentication attivo o un sistema di controllo interno
- siamo davanti ad una società che ha sottovalutato la pericolosità di uno strumento come questo
- uno o più dipendenti (dipende dalle fonti) sono stati abbindolati attraverso l’ingegneria sociale come dei ragazzini alle prime armi
- aggiungo un punto extra: siamo sicuri che la colpa di questo o questi dipendenti non fosse quella di non aver aggiornato per bene tutte le loro credenziali dopo il data lake subito qualche tempo fa?
Adesso proviamo a riflettere insieme o almeno proviamo a pensare sulle potenzialità di questo strumento interno e di come questo può essere utilizzato da un qualsiasi dipendente per pubblicare a nome di ignari utenti contenuti di ogni tipo, contenuti che magari non rispettano i termini della comunità e quindi che potrebbero portare alla chiusura dell’account.
Spingiamoci oltre, uno o più dipendenti attraverso questo strumento potrebbero far cambiare il trend delle discussioni collegati ad un determinato argomento, grazie alla possibilità di pubblicare per conto degli altri tweet come se non ci fosse un domani. Quindi prenderebbero degli account non così influenti, per numero di follower e tweet, per far cambiare il trend ad un dibattito politico.
Io sono scioccato nel scoprire che nel 2020 ci siano strumenti interni a cui chiunque può accedervi senza un minimo di controllo e soprattutto attraverso la two factor authentication, lasciando da parte il fatto che uno si può far abbindolare dal primo che capita e che magari è un bravo ingegnere sociale. La two factor authentication dovrebbe essere come il buongiorno al mattino oppure il saluto ad un collega, in una grossa azienda queste cose non possono mancare.
Personalmente penso che questa volta Twitter abbia sbagliato di brutto e che sicuramente qualche testa salterà, così come mi auguro e spero che quanto è successo in casa dell’uccellino blu sia da insegnamento per gli altri.
Bene io per il momento mi fermo qui e sicuramente questo post lo aggiornerò nelle prossime ore, nel mentre aspetto le vostre impressioni nei commenti qui sotto.
