Per i malintenzionati, rubare un account su Twitter è più facile di quanto si possa immaginare: v’è infatti una grave falla di sicurezza che consente loro di modificare la password di un utente e di mettere il vendita il profilo stesso. Per tale motivo, l’unico modo per proteggersi è cambiare il proprio codice d’accesso di tanto in tanto e utilizzarne uno complesso.
Tale falla è stata scoperta da un utente, Daniel Dennis Jones aka @blanket su Twitter, il quale lo scorso sabato ha ricevuto una notifica via email che lo avvisava che la password che utilizzava sul social network era stata resettata. Di per sé, ciò è già motivo di preoccupazione perché significa che qualcuno ha cercato di appropriarsi del suo account, ma approfondendo la questione ha scoperto ben presto che il problema era più grave di quanto immaginato.
Modificando nuovamente il codice d’accesso, l’utente ha notato che anche il nome del proprio account era stato cambiato in @FuckMyAssHoleLO (probabilmente l’ultima “L” era stata troncata a causa della lunghezza) e che adesso la pagina veniva gestita da qualcun altro. In poche parole, tale profilo era stato chiaramente violato e addirittura messo in vendita. Procedendo per capire cosa fosse successo, Jones ha infatti trovato il proprio username in vendita su un sito denominato ForumKorner, ovvero una community dove gli utenti possono vendere e comprare nomi utente per i giochi online: si tratta di un vero e proprio mercato occasionale di account ottenuti illegalmente da Twitter.
Tramite ulteriori ricerche, Jones ha trovato moltissimi altri utenti che hanno avuto il suo medesimo problema: tale mercato di account rubati viene gestito da un piccolo gruppo di cracker adolescenti che vendono parte dei codici d’accesso ottenuti illegalmente a cifre che difficilmente superano i 100 dollari. Parlando con un cracker conosciuto su Twitter, Jones ha scoperto che ciò che rende un account facile da rubare è proprio avere una password vulnerabile.
Il cracker ha infatti descritto una tecnica estremamente semplice per appropriarsi degli account altrui: usa un programma che tenta ripetutamente di effettuare il login su Twitter con password comuni, e mentre la maggior parte dei siti limitano i tentativi di login effettuati dal medesimo account, la piattaforma di Jack Dorsey limita invece i ripetuti tentativi di accesso dallo stesso indirizzo IP. In pratica, cambiando l’IP e utilizzando tale pratica, un hacker – o un cracker, a seconda delle proprie intenzioni – può appropriarsi indebitamente di un profilo su Twitter in modo oltremodo semplice.