Twitter ha finalmente reagito alle molteplici notizie secondo cui un set di dati relativi a centinaia di milioni di account utente sarebbe stato rubato e messo in vendita online. L’azienda afferma di non aver trovato alcuna prova che i dati siano stati ottenuti sfruttando una vulnerabilità dei suoi sistemi.

“In risposta alle recenti notizie diffuse dai media sulla vendita online dei dati degli utenti di Twitter, abbiamo condotto un’indagine approfondita e non ci sono prove che i dati recentemente venduti siano stati ottenuti sfruttando una vulnerabilità dei sistemi di Twitter”, ha dichiarato l’azienda sulla sua pagina dedicata alla privacy.

Twitter ha spiegato che le migliaia di informazioni sugli utenti non corrispondevano ai dati esposti in precedenti incidenti di sicurezza dello scorso anno, che la società ha risolto.

Cybernews ha riferito di recente che gli attori delle minacce hanno divulgato pubblicamente 63 GB di dati, collegando oltre 200 milioni di utenti di Twitter con i loro nomi e indirizzi e-mail. Il database era interamente pubblico e disponibile per il download da parte di chiunque. Abbiamo anche aggiornato il nostro strumento di controllo delle fughe di dati personali con oltre 200 milioni di dati di utenti di Twitter pubblicati gratuitamente online, così ora potete verificare voi stessi se i vostri dati condivisi con Twitter sono stati divulgati.

In precedenza gli esperti avevano affermato di ritenere che coloro che hanno diffuso i dati sul sito di hacker BreachForums fossero in grado di sfruttare una falla nei servizi di Twitter per i programmatori.

“I dati sono probabilmente una raccolta di dati già pubblicamente disponibili online attraverso diverse fonti”, ha però precisato ora l’azienda.

Twitter ha aggiunto che nessuno dei set di dati analizzati – comprese le fughe di notizie di dicembre e luglio – conteneva password o informazioni che potessero portare alla compromissione delle password.

Tuttavia, Twitter non ha spiegato come i dati trapelati degli utenti di Twitter siano stati accuratamente collegati agli indirizzi e-mail associati ai loro account. Questo è pericoloso, secondo Mantas Sasnauskas, responsabile della ricerca sulla sicurezza di Cybernews.

“Il numero di utenti coinvolti nella fuga di notizie è enorme. Inoltre, le e-mail degli utenti sono collegate ai loro nomi e handle di Twitter. Ora sono a disposizione di qualsiasi attore di minacce, e queste informazioni possono potenzialmente portare ad attacchi di social engineering e doxing [esposizione di informazioni personali identificabili online]”, ha detto Sasnauskas.

Nella dichiarazione, Twitter ha anche affermato di essere attualmente in contatto con le autorità per la protezione dei dati e con altri organismi di regolamentazione dei dati in diversi Paesi per fornire ulteriori dettagli sui “presunti incidenti”.

A dicembre, la Commissione irlandese per la protezione dei dati (DPC) ha annunciato di aver avviato un’indagine e “esaminerà la conformità di Twitter alla legge sulla protezione dei dati in relazione a questo problema di sicurezza” in seguito alla fuga di notizie.

Twitter ha inoltre consigliato agli utenti di utilizzare l’autenticazione a due fattori e di “rimanere estremamente vigili” quando ricevono e-mail che potrebbero essere utilizzate per rubare le loro credenziali di accesso.

“Gli attori delle minacce potrebbero sfruttare le informazioni trapelate per creare campagne di phishing molto efficaci. Diffidate delle e-mail che trasmettono un senso di urgenza e di quelle che richiedono le vostre informazioni private; controllate sempre due volte che le e-mail provengano da una fonte legittima di Twitter”, ha dichiarato l’azienda.

Twitter ha aggiunto che nessuno dei set di dati analizzati – comprese le fughe di notizie di dicembre e luglio – conteneva password o informazioni che potessero portare alla compromissione delle password.