Sophos segnala: hacker francese viola il sito di Twitter curiosando tra gli account degli utenti

maggio 01, 2009 Sophos Press Release

Secondo quanto riportato da Sophos, società leader a livello mondiale nel settore della sicurezza informatica e nella tecnologia di controllo dell'accesso alla rete (NAC), Twitter sta provvedendo a rafforzare le misure di sicurezza dopo l'intrusione di un hacker francese noto con lo pseudonimo di "Hacker Croll". Questi sostiene di essersi intrufolato nella sezione amministrativa di Twitter, che gli ha consentito di accedere agli account di milioni di utenti, tra cui Barack Obama, Britney Spears, Ashton Kutcher e Lily Allen.

Hacker Croll sarebbe stato in grado di ottenere l'accesso amministrativo a Twitter dopo aver rubato la password di Yahoo di un dipendente del microblog. Azzerando la password del dipendente dopo averne indovinato la "domanda segreta", Hacker Croll sarebbe riuscito a impossessarsi delle sue credenziali d'accesso al profilo di amministratore.

Le affermazioni dell'hacker sembrano essere confermate dalle schermate pubblicate in un blog francese, che mostrano il pannello di amministrazione del sito di microblogging e rivelano le relazioni tra alcuni account appartenenti a personaggi pubblici. Ashton Kutcher e Lily Allen, ad es., avrebbero bloccato alcuni utenti, tra cui il re del gossip Perez Hilton, impedendogli di contattarli. Tra le informazioni private alle quali è stato possibile accedere figurano gli indirizzi e-mail di account violati, numeri di cellulare (se associati a un account) e la lista degli account bloccati dall'utente in questione.

"Questo è solo l'ultimo di una serie di problemi di sicurezza che hanno riguardato Twitter negli ultimi mesi. Il sito sta certamente rischiando di perdere la fiducia dei propri utenti, irritati dall'ennesimo episodio di violazione", ha dichiarato Walter Narisoni, Sales Engineer Manager di Sophos Italia. "Proprio come in occasione dei recenti attacchi ad opera di worm, è accaduto che Twitter, anziché sensibilizzare i propri utenti sull'importanza della sicurezza, ha finito per trarne una lezione. La negligenza dimostrata dal sito di microblogging in materia di sicurezza rischia di mettere a repentaglio milioni di utenti".

Secondo gli esperti di Sophos la sicurezza interna di Twitter potrebbe essere rafforzata obbligando il personale a eseguire l'accesso mediante un token di autenticazione che, in fase di accesso, genera una chiave casuale. In questo modo, anche nel caso in cui un hacker mettesse le mani su nome utente e password di un dipendente, non sarebbe in grado di ottenere l'accesso.

"Allo stato attuale sembra proprio che, se un dipendente di Twitter smarrisce la propria password, gli hacker possono scatenarsi sul sito causando problemi di ogni genere. Se lo staff adottasse una chiave di autenticazione hardware del tipo utilizzato dai clienti delle banche per accedere al proprio conto online, Twitter potrebbe ridurre enormemente la probabilità di simili attacchi", ha spiegato Narisoni. "Non dimentichiamo tuttavia che, sebbene molti potrebbero accusare Twitter di non aver imposto al proprio personale l'adozione di criteri più efficaci per proteggere gli account di amministratore, il vero responsabile di questa violazione è Hacker Croll".

Maggiori informazioni, tra cui le schermate dell'attacco (inglese)