Dopo LinkedIn e Last.fm, un altro noto servizio online ha subito il furto di migliaia di dati relativi agli account degli utenti. Il gruppo di hacker denominato LulzSec Reborn ha pubblicato le informazioni personali di circa 10.000 iscritti a Twitter che hanno utilizzato TweetGif per condividere gif animate. Un portavoce del social network ha però dichiarato che le password sono al sicuro.
LulzSec Reborn è un gruppo di hacker nato in seguito allo scioglimento di LulzSec, i cui membri sono stati arrestati dall’FBI grazie alla collaborazione del leader Sabu. La nuova coalizione ha già fatto parlare di sé lo scorso mese di marzo, quando è stato attaccato il sito Military Singles. Sul sito Pastebin è stato pubblicato un link al file SQL che contiene molte informazioni relative agli utenti, tra cui nomi reali, posizione geografica, avatar e credenziali di accesso. Questi dati sono utilizzati dall’applicazione TweetGif per condividere immagini gif animate.
Come ogni app, anche TweetGif chiede il permesso all’utente prima di iniziare la pubblicazione sul suo profilo. Fortunatamente in questo caso viene utilizzato il protocollo di sicurezza OAuth, con il quale il software chiede l’autorizzazione all’accesso, senza richiedere username e password. Il token, usato dalle applicazioni di terze parti come TweetGif, possiede inoltre una scadenza e può essere revocato in qualsiasi momento sia dall’utente (nelle impostazioni del profilo) che da Twitter stesso.
L’attacco messo in pratica da LulzSec Reborn, di cui non si conosce la motivazione, non sembra quindi particolarmente grave. In ogni caso è sempre meglio seguire i consigli pubblicati dal social network per evitare l’uso fraudolento dei propri dati personali.