Hacker legati ad alcuni Stati sovrani hanno usato una vulnerabilità di Twitter per mettere le mani sui numeri di telefono degli utenti. Si tratta dell'ultimo caso in cui i social network sono stati usati come terreno di raccolta dei dati personali: una pratica che prende il nome di "scraping" e che solitamente finisce con lo sfruttamento delle informazioni ottenute - come nel caso eclatante di Facebook e Cambridge Analytica - o con la loro vendita sul mercato nero del dark web.
Ad accendere i riflettori sull'episodio è stata la stessa Twitter, che ha assicurato di aver sospeso "immediatamente" gli account falsi usati per impadronirsi dei dati. La scoperta risale al 24 dicembre scorso, anche se è stata resa pubblica solo ora "per precauzione e per una questione di principio".
In quella data, ha spiegato la compagnia in una nota, "ci siamo resi conto che qualcuno, tramite una vasta rete di account falsi, sfruttava la nostra API (l'interfaccia di programmazione di una app, ndr) per abbinare i nomi utente ai numeri di telefono". "Gli account dediti a queste attività erano dislocati in molti Paesi diversi, ma abbiamo rilevato un volume particolarmente elevato di richieste provenienti da singoli indirizzi IP situati in Iran, Israele e Malesia. È possibile che alcuni di questi indirizzi IP - si legge - possano avere legami con soggetti appoggiati dallo Stato".
Ad essere sfruttata da malintenzionati è la vulnerabilità in una funzione, ora corretta da Twitter, che aiuta chi crea un nuovo account a trovare utenti che già conosce. Gli utenti esposti alla vulnerabilità sono soltanto quelli che hanno abilitato l'opzione "Consenti agli utenti che hanno il tuo numero di trovarti su Twitter", e che hanno associato un numero di telefono al proprio profilo Twitter. La società non ha reso noto il numero di utenti potenzialmente coinvolti.
Lo stesso 24 dicembre scorso, il sito americano TechCrunch aveva dato notizia di un ricercatore di sicurezza, chiamato Ibrahim Balic, che era riuscito - a scopo dimostrativo - ad abbinare 17 milioni di numeri di telefono ad altrettanti utenti di Twitter usando quella vulnerabilità.
"I social network sono ormai da tempo uno dei fronti più esposti alle minacce di attacchi informatici che mettono a rischio la sicurezza e la privacy degli utenti", rileva dice Gabriele Faggioli, responsabile dell'Osservatorio Information security & privacy del Politecnico di Milano e Ceo di P4I-Partners4Innovation. "Il caso di Twitter è solo l'ultimo di una serie di fatti che hanno coinvolto diversi social, non a caso recentemente oggetto di importanti interventi delle autorità americane e europee".
Lo scorso agosto, ad esempio, Instagram ha fatto sapere di aver buttato fuori dalla sua piattaforma una startup di marketing, Hyp3r, scoperta a raccogliere in modo illecito i dati degli utenti come le foto o la posizione geografica per poter mostrare loro una pubblicità più mirata. Il caso più eclatante resta però quello di Cambridge Analytica, società di consulenza britannica finita in uno scandalo - e poi in bancarotta - per aver messo le mani sui dati di 87 milioni di utenti di Facebook, usati per veicolare spot politici nella campagna referendaria britannica sulla Brexit e nelle elezioni presidenziali americane del 2016.
