La settimana scorsa Twitter ha aumentato la sicurezza degli account introducendo la verifica d’accesso tramite codice. Tutti in salvo, quindi? Non è detto. I ricercatori del centro di sicurezza F-Secure hanno giudicato il sistema di sicurezza dell’account di Twitter insufficiente. Il problema, come riporta Sean Sullivan, è che un malintenzionato potrebbe facilmente disattivare la la verifica in due fasi, gli basterebbe conoscere il numero di telefono della vittima.
Deve solo inviare un SMS a Twitter con la parola “STOP”, usurpando il numero dell’utente con una tecnica chiamata “SMS spoofing”. In questo modo si disattiva il processo di verifica tramite codice.
Infatti, Twitter usa il canale SMS non solo per inviare i codici di sicurezza, ma anche per inviare tweet. L’utente può sospendere il servizio SMS, ma in questo caso sospende anche la nuova procedura di autenticazione.
Sullivan conclude confrontando le impostazioni di sicurezza di Twitter con quelli di altri servizi altrettanto celebri, come Facebook e Gmail, e le misure adottate da Twitter per proteggere la privacy dei propri utenti sembrano davvero poco incisive.
Certo, gli scenari immaginati dai ricercatori presuppongono un minimo di tempo e di conoscenze tecniche. Quindi non c’è bisogno di farsi prendere dal panico: l’utente medio corre teoricamente pochi rischi di vedere il suo account violato. Tuttavia, gli account di utenti Twitter più noti, come quelli di politici, attori e altre persone con molti follower, dovrebbero prestare maggiore attenzione alla sicurezza che il passerotto blu riserva loro.
Leggi anche:
