La banalità con cui hanno hackerato l'account del CEO di Twitter dovrebbe farci riflettere

Venerdì 30 agosto Jack Dorsey, il CEO di Twitter ha passato un brutto quarto d'ora. Nel pomeriggio, un gruppo di hacker chiamato Chuckle Squad è riuscito a impadronirsi del suo account privato e ha iniziato a "cinguettare" sul social una serie di post razzisti e antisemiti. La situazione è tornata alla normalità nell'arco di una decina di minuti, il tempo necessario a riprendere il controllo e a cancellare i messaggi offensivi, ma l'accaduto ha lasciato tutti sbigottiti: non solo è stato violato un account del social più amato dai politici, soprattutto in USA, ma quell'account non era di una persona qualsiasi, bensì del suo CEO.

Ecco come hanno hackerato l'account del CEO di Twitter

A ben vedere, gli hacker che hanno preso di mira l'account di Jack Dorsey non sono riusciti a prenderne totalmente il controllo, si sono limitati a trovare il modo di postare tweet. Questo non rende l'accaduto meno grave, ma porta a riflettere sull'implementazione delle misure di sicurezza del social: nemmeno l'attivazione dell'autenticazione a due fattori ha impedito ai membri di Chuckle Squad di violare un account tanto importante.

Per portare avanti l'attacco, è stata sfruttata la tecnica del Sim Swapping, con la quale i truffatori riescono a intestare uno specifico numero di telefono a una nuova SIM, superando in questa maniera anche l'eventuale autenticazione a due fattori (il codice di autenticazione sarà inviato alla nuova SIM nelle mani dei pirati). In questo caso, gli hacker non ne hanno avuto nemmeno bisogno dato che una volta registrata una nuova SIM col numero di Dorsey si sono limitati a inviare tweet tramite SMS. Una funzione che torna utile quando ci si trova in aree con poco segnale o per inviare cinguettii anche da comuni cellulari senza funzioni smart, ma che come abbiamo visto ha grossi limiti per quanto riguarda la sicurezza.

Già poche ore dopo l'accaduto, Twitter ha voluto specificare che gli attaccanti hanno sfruttato un buco di sicurezza del provider telefonico, non del social.

The phone number associated with the account was compromised due to a security oversight by the mobile provider. This allowed an unauthorized person to compose and send tweets via text message from the phone number. That issue is now resolved.

— Twitter Comms (@TwitterComms) 31 agosto 2019  

"Il numero telefonico associato con l'account è stato compromesso a causa di un errore di sicurezza del provider telefonico. Questo ha permesso a una persona non autorizzata di inviare tweet tramite SMS da un numero telefonico. ll problema è stato risolto".

Come difendersi da questo genere di attacchi?  

Trattandosi di una vulnerabilità del gestore telefonico e non del social, il consiglio è quello di non usare il numero telefonico per l'autenticazione a due fattori ma appoggiarsi a metodi più sicuri, come per esempio l'app per generare di codici di Google. Questo vale non solo per Twitter, ma per qualsiasi account. Stupisce a tal proposito che un personaggio di spicco come Dorsey non avesse preso ulteriori precauzioni, considerando che la tecnica dello SIM Swapping non è certo una novità ed è stata usata più volte, soprattutto per sottrarre criptovalute.