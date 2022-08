Come se non bastasse la causa legale contro Elon Musk, Twitter è ora nell'occhio del ciclone per una grave falla di sicurezza. Stando a quanto ammesso dal social stesso, infatti, nel codice di Twitter ci sarebbe stata una falla zero-day di cui alcuni malintenzionati avrebbero fatto uso per mesi.

La notizia arriva da un post sul blog di Twitter, nel quale la compagnia afferma che la falla è stata risolta a gennaio 2022 con una patch, ma che prima di allora essa prestava il fianco ad un exploit utilizzato più e più volte da alcuni "attori malevoli" ancora non identificati. La falla sarebbe stata scoperta da un ricercatore indipendente, che l'avrebbe comunica a Twitter come parte del programma Bug Bounty, il quale prevede ricompense per chi trova bug nel codice della piattaforma.

Qualcuno potrebbe domandarsi perché Twitter abbia aspettato più di sette mesi per comunicare il problema agli utenti. A spiegare il motivo di questa scelta è l'azienda stessa, secondo cui, almeno inizialmente, non vi erano dati o informazioni che facessero pensare che la falla fosse stata vittima di exploit da parte di hacker e malintenzionati. Di recente, tuttavia, un articolo di Bleeping Computer ha riportato che un individuo avrebbe tratto vantaggio della vulnerabilità per mesi.

Nello specifico, il portale riporta che la falla avrebbe permesso all'hacker, la cui identità è ovviamente ignota, di ottenere i dati di più di 5,4 milioni di account Twitter. Twitter ha spiegato, commentando la notizia, di non poter confermare tale numero, ma di aver effettuato nuovi controlli che, a differenza dei precedenti, hanno confermato che l'exploit è stato sfruttato per diversi mesi.

La vulnerabilità avrebbe permesso a chi l'ha sfruttata di determinare l'identità dei proprietari degli account Twitter risalendo alla loro mail ed al loro numero di telefono. In altre parole, il problema sarebbe particolarmente grave per chi utilizza Twitter sotto pseudonimo, mentre non vi sarebbero problemi per gli account che rendono il proprio nome e cognome pubblico sulla piattaforma. Twitter ha comunque spiegato che informerà tutti coloro che sono stati vittima dell'exploit nei prossimi giorni.