La banalità con cui hanno hackerato l'account del CEO di Twitter dovrebbe farci riflettere
di Alberto Falchi pubblicata il 02 Settembre 2019, alle 16:41 nel canale Security
Per ottenere i controllo del'account Twitter del CEO dell'azienda, Jack Dorsey’s, sono bastati pochi minuti e un minimo di ingegno con la tecnica del SIM Swapping, dimostrando che ci sono ancora enormi problemi di sicurezza da risolvere
Venerdì 30 agosto Jack Dorsey, il CEO di Twitter ha passato un brutto quarto d'ora. Nel pomeriggio, un gruppo di hacker chiamato Chuckle Squad è riuscito a impadronirsi del suo account privato e ha iniziato a "cinguettare" sul social una serie di post razzisti e antisemiti. La situazione è tornata alla normalità nell'arco di una decina di minuti, il tempo necessario a riprendere il controllo e a cancellare i messaggi offensivi, ma l'accaduto ha lasciato tutti sbigottiti: non solo è stato violato un account del social più amato dai politici, soprattutto in USA, ma quell'account non era di una persona qualsiasi, bensì del suo CEO.
Ecco come hanno hackerato l'account del CEO di Twitter
A ben vedere, gli hacker che hanno preso di mira l'account di Jack Dorsey non sono riusciti a prenderne totalmente il controllo, si sono limitati a trovare il modo di postare tweet. Questo non rende l'accaduto meno grave, ma porta a riflettere sull'implementazione delle misure di sicurezza del social: nemmeno l'attivazione dell'autenticazione a due fattori ha impedito ai membri di Chuckle Squad di violare un account tanto importante.
Per portare avanti l'attacco, è stata sfruttata la tecnica del Sim Swapping, con la quale i truffatori riescono a intestare uno specifico numero di telefono a una nuova SIM, superando in questa maniera anche l'eventuale autenticazione a due fattori (il codice di autenticazione sarà inviato alla nuova SIM nelle mani dei pirati). In questo caso, gli hacker non ne hanno avuto nemmeno bisogno dato che una volta registrata una nuova SIM col numero di Dorsey si sono limitati a inviare tweet tramite SMS. Una funzione che torna utile quando ci si trova in aree con poco segnale o per inviare cinguettii anche da comuni cellulari senza funzioni smart, ma che come abbiamo visto ha grossi limiti per quanto riguarda la sicurezza.
Già poche ore dopo l'accaduto, Twitter ha voluto specificare che gli attaccanti hanno sfruttato un buco di sicurezza del provider telefonico, non del social.
The phone number associated with the account was compromised due to a security oversight by the mobile provider. This allowed an unauthorized person to compose and send tweets via text message from the phone number. That issue is now resolved.
— Twitter Comms (@TwitterComms) 31 agosto 2019
"Il numero telefonico associato con l'account è stato compromesso a causa di un errore di sicurezza del provider telefonico. Questo ha permesso a una persona non autorizzata di inviare tweet tramite SMS da un numero telefonico. ll problema è stato risolto".
Come difendersi da questo genere di attacchi?
Trattandosi di una vulnerabilità del gestore telefonico e non del social, il consiglio è quello di non usare il numero telefonico per l'autenticazione a due fattori ma appoggiarsi a metodi più sicuri, come per esempio l'app per generare di codici di Google. Questo vale non solo per Twitter, ma per qualsiasi account. Stupisce a tal proposito che un personaggio di spicco come Dorsey non avesse preso ulteriori precauzioni, considerando che la tecnica dello SIM Swapping non è certo una novità ed è stata usata più volte, soprattutto per sottrarre criptovalute.
Recensione MacBook Pro 16'' M4 Pro: potenza ed efficienza al top 
OPPO Find X8 Pro: potenza e innovazione al servizio della fotografia 
Sony A1 II, tempo di aggiornamenti per l’ammiraglia
Torna a Milano la mostra del Wildlife Photographer of the Year
Range Rover Sport Electric scovata in fase di test al Nürburgring | Video
Amazon pompa altri 4 miliardi di dollari in Anthropic, rivale di OpenAI
15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoMa poi come tempi? In teoria al ricevimento della telefonata il provider dovrebbe subito bloccare la sim dichiarata persa per evitare che venga utilizzata per scopi illeciti....a quel punto il reale utilizzatore dovrebbe riuscire ad accorgersi che qualcosa non va ben prima che ai truffatori arrivi la sim nuova no?
La sim non è rilasciata dallo stato, ergo è solo a discrezione dell'operatore chiederla.
Ma, onestamente muovere la macchina infernale dello stato per aver rubato la SIM di una persona, la trovo inutile e dispendiosa in termini di tempo e denaro pubblico, vale la stessa cosa per l'addebito di 1000€ sulla carta di credito che ti hanno sgamato dalle foto che hai girato via whatsapp o tenute sul telefono insieme ad apps fuffa.
Di conseguenza, telefonate e SMS verrebbero indirizzati ad entrambi
Di conseguenza, telefonate e SMS verrebbero indirizzati ad entrambi
Non puoi farlo il protocollo prevede che il numero 1234 è associato alla sim numero xyz se fai il clone, solo una delle due si aggancia al ripetitore, l'altra fallisce miseramente fino a che l'altra si disconnette. Idem vice versa.
Musk per qualche tweet di troppo è stato condannato a pagare 40 milioni di dollari di multa e a rinunciare alla poltrona da presidente di Tesla, (link) con tutta la bella gente che usa questa piattaforma penso che un hacker possa fare dei bei danni.
Di conseguenza, telefonate e SMS verrebbero indirizzati ad entrambi
Oltre a quello che ha scritto @SpyroTSK aggiungo che per realizzare una SIM clonata occorre venire in possesso, almeno per un qualche minuto, della SIM originale
La sicurezza è meno di quanto sembri.
E la cosa stupida è non poter scegliere.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".