La banalità con cui hanno hackerato l'account del CEO di Twitter dovrebbe farci riflettere

La banalità con cui hanno hackerato l'account del CEO di Twitter dovrebbe farci riflettere

Per ottenere i controllo del'account Twitter del CEO dell'azienda, Jack Dorsey’s, sono bastati pochi minuti e un minimo di ingegno con la tecnica del SIM Swapping, dimostrando che ci sono ancora enormi problemi di sicurezza da risolvere

di pubblicata il , alle 16:41 nel canale Security
Twitter
 

Venerdì 30 agosto Jack Dorsey, il CEO di Twitter ha passato un brutto quarto d'ora. Nel pomeriggio, un gruppo di hacker chiamato Chuckle Squad è riuscito a impadronirsi del suo account privato e ha iniziato a "cinguettare" sul social una serie di post razzisti e antisemiti. La situazione è tornata alla normalità nell'arco di una decina di minuti, il tempo necessario a riprendere il controllo e a cancellare i messaggi offensivi, ma l'accaduto ha lasciato tutti sbigottiti: non solo è stato violato un account del social più amato dai politici, soprattutto in USA, ma quell'account non era di una persona qualsiasi, bensì del suo CEO.

Ecco come hanno hackerato l'account del CEO di Twitter

A ben vedere, gli hacker che hanno preso di mira l'account di Jack Dorsey non sono riusciti a prenderne totalmente il controllo, si sono limitati a trovare il modo di postare tweet. Questo non rende l'accaduto meno grave, ma porta a riflettere sull'implementazione delle misure di sicurezza del social: nemmeno l'attivazione dell'autenticazione a due fattori ha impedito ai membri di Chuckle Squad di violare un account tanto importante.

Per portare avanti l'attacco, è stata sfruttata la tecnica del Sim Swapping, con la quale i truffatori riescono a intestare uno specifico numero di telefono a una nuova SIM, superando in questa maniera anche l'eventuale autenticazione a due fattori (il codice di autenticazione sarà inviato alla nuova SIM nelle mani dei pirati). In questo caso, gli hacker non ne hanno avuto nemmeno bisogno dato che una volta registrata una nuova SIM col numero di Dorsey si sono limitati a inviare tweet tramite SMS. Una funzione che torna utile quando ci si trova in aree con poco segnale o per inviare cinguettii anche da comuni cellulari senza funzioni smart, ma che come abbiamo visto ha grossi limiti per quanto riguarda la sicurezza.

Già poche ore dopo l'accaduto, Twitter ha voluto specificare che gli attaccanti hanno sfruttato un buco di sicurezza del provider telefonico, non del social.

"Il numero telefonico associato con l'account è stato compromesso a causa di un errore di sicurezza del provider telefonico. Questo ha permesso a una persona non autorizzata di inviare tweet tramite SMS da un numero telefonico. ll problema è stato risolto".

Come difendersi da questo genere di attacchi?  

Trattandosi di una vulnerabilità del gestore telefonico e non del social, il consiglio è quello di non usare il numero telefonico per l'autenticazione a due fattori ma appoggiarsi a metodi più sicuri, come per esempio l'app per generare di codici di Google. Questo vale non solo per Twitter, ma per qualsiasi account. Stupisce a tal proposito che un personaggio di spicco come Dorsey non avesse preso ulteriori precauzioni, considerando che la tecnica dello SIM Swapping non è certo una novità ed è stata usata più volte, soprattutto per sottrarre criptovalute.

 

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
daniele86Z02 Settembre 2019, 17:11 #1
Si ma non mi sembra sia possibile specificare un f2a tramite app, twitter manda l'SMS
Ragerino02 Settembre 2019, 17:12 #2
Non sapevo che la pubblicazione dei tweet fosse una questione di vita o di morte, tanto da rendere neccessaria l'introduzione degli SMS.
Lanfi02 Settembre 2019, 17:15 #3
Leggevo un po' di questo truffa dello sim swap che sta alla base del "hack". Ma anche in italia è così facile? Cioè mi basta telefonare al mio gestore, dirgli che ho perso mettiamo il telefono con dentro la sim e loro mi rispediscono una sim nuova con il mio vecchio numero? Non devo quantomeno mandargli una copia della denuncia fatta a carabinieri/polizia?

Ma poi come tempi? In teoria al ricevimento della telefonata il provider dovrebbe subito bloccare la sim dichiarata persa per evitare che venga utilizzata per scopi illeciti....a quel punto il reale utilizzatore dovrebbe riuscire ad accorgersi che qualcosa non va ben prima che ai truffatori arrivi la sim nuova no?
SpyroTSK02 Settembre 2019, 19:09 #4
Originariamente inviato da: Lanfi
Leggevo un po' di questo truffa dello sim swap che sta alla base del "hack". Ma anche in italia è così facile? Cioè mi basta telefonare al mio gestore, dirgli che ho perso mettiamo il telefono con dentro la sim e loro mi rispediscono una sim nuova con il mio vecchio numero? Non devo quantomeno mandargli una copia della denuncia fatta a carabinieri/polizia?

La sim non è rilasciata dallo stato, ergo è solo a discrezione dell'operatore chiederla.
Ma, onestamente muovere la macchina infernale dello stato per aver rubato la SIM di una persona, la trovo inutile e dispendiosa in termini di tempo e denaro pubblico, vale la stessa cosa per l'addebito di 1000€ sulla carta di credito che ti hanno sgamato dalle foto che hai girato via whatsapp o tenute sul telefono insieme ad apps fuffa.
Zenida02 Settembre 2019, 21:17 #5
Per quanto ne so la SIM viene clonata senza coinvolgere l'operatore. È proprio un chip clone.
Di conseguenza, telefonate e SMS verrebbero indirizzati ad entrambi
SpyroTSK02 Settembre 2019, 21:50 #6
Originariamente inviato da: Zenida
Per quanto ne so la SIM viene clonata senza coinvolgere l'operatore. È proprio un chip clone.
Di conseguenza, telefonate e SMS verrebbero indirizzati ad entrambi


Non puoi farlo il protocollo prevede che il numero 1234 è associato alla sim numero xyz se fai il clone, solo una delle due si aggancia al ripetitore, l'altra fallisce miseramente fino a che l'altra si disconnette. Idem vice versa.
biometallo02 Settembre 2019, 22:00 #7
Originariamente inviato da: Ragerino
Non sapevo che la pubblicazione dei tweet fosse una questione di vita o di morte, tanto da rendere neccessaria l'introduzione degli SMS.


Musk per qualche tweet di troppo è stato condannato a pagare 40 milioni di dollari di multa e a rinunciare alla poltrona da presidente di Tesla, (link) con tutta la bella gente che usa questa piattaforma penso che un hacker possa fare dei bei danni.
Qarboz02 Settembre 2019, 22:27 #8
Originariamente inviato da: Zenida
Per quanto ne so la SIM viene clonata senza coinvolgere l'operatore. È proprio un chip clone.
Di conseguenza, telefonate e SMS verrebbero indirizzati ad entrambi


Oltre a quello che ha scritto @SpyroTSK aggiungo che per realizzare una SIM clonata occorre venire in possesso, almeno per un qualche minuto, della SIM originale
Flortex02 Settembre 2019, 23:05 #9
C'è da riflettere sulla mania di voler imporre l'autenticazione tramite telefono per moltissimi servizi.

La sicurezza è meno di quanto sembri.
E la cosa stupida è non poter scegliere.
giovanni6902 Settembre 2019, 23:39 #10
L'autenticazione tramite telefono è solo una scusa per migliore la profilazione del cliente; non è un vero fail-proof per aumentare la sicurezza.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^