Twitter, nuovi problemi di sicurezza: scoperta una falla nel reset delle password

Twitter, nuovi problemi di sicurezza: scoperta una falla nel reset delle password
di

Twitter torna nell'occhio del ciclone: a pochi giorni dalle accuse di "cospirazione" contro i dirigenti Twitter da parte di Elon Musk, infatti, il social network fondato da Jack Dorsey si trova ad affrontare un problema di sicurezza relativo alla gestione delle password.

Nelle scorse ore, con un post sul blog di Twitter, la compagnia ha parlato di un "incidente" relativo alle password di diversi utenti, senza però specificare il numero delle persone affette dal problema. La questione è piuttosto intricata, perciò cerchiamo di procedere con ordine: come tutte le piattaforme online, anche Twitter permette ai suoi utenti di cambiare la propria password quando necessario. Ciò si è verificato utile, per esempio, nel caso degli account colpiti dagli hacker di Twitter durante il maxi-attacco del 2020, che ha mirato a profili come quelli di Bill Gates, Elon Musk e Barack Obama.

Normalmente, quando si resetta una password (non solo su Twitter, ma su ogni sito web), il servizio forza il logout dall'applicazione su qualsiasi dispositivo connesso al profilo, in modo da "buttare fuori" gli utenti indesiderati, chiedendo loro di identificarsi inserendo la nuova password. Sfortunatamente, però, pare che un bug introdotto lo scorso anno per errore abbia reso inefficace il logout forzato dopo il cambio password.

Twitter spiega che "se hai modificato la password sul tuo dispositivo ma avevi comunque una sessione aperta su un altro device, è possibile che quella sessione non sia stata chiusa. Le sessioni web non sono state affette dal problema e sono state chiuse in modo appropriato". In altre parole, il problema riguarderebbe perlopiù la versione mobile di Twitter, e non quella web-based.

Per risolvere il problema, in queste ore Twitter sta forzando il logout degli utenti colpiti dal bug su tutte le loro piattaforme, chiedendo loro di reinserire le proprie credenziali in modo da verificare la propria identità. Twitter ha anche spiegato che "per la maggior parte delle persone, il problema non ha portato ad alcun danno o ad alcuna compromissione del proprio account". Intanto, però, in molti hanno preso l'incidente come una conferma delle indiscrezioni del whistleblower di Twitter Peiter Zatko, che non a caso si è lamentato della mancanza di misure di cybersicurezza di Twitter.

FONTE: Engadget
Quanto è interessante?
3