Il 27 ottobre 2022 Elon Musk ha assunto la proprietà di Twitter e da quel momento ci sono stati molti cambiamenti. La situazione ad oggi è estremamente incerta, caotica e potenzialmente pericolosa.
Da poco più di un mese abbiamo assistito a una serie di eventi che hanno messo rapidamente in discussione la sicurezza e la privacy della piattaforma e dei dati che essa contiene. Inoltre, circolano dubbi in merito alla possibilità che Twitter continui a esistere nei mesi o nelle settimane che verranno.
Christopher Budd, Senior Manager, Threat Research del the Sophos Technology Group, spiega che “di fronte a questa incertezza è bene che gli utenti adottino tutti gli accorgimenti necessari a proteggere se stessi e le loro informazioni su Twitter. Considerata la notevole rapidità con cui si sviluppano gli eventi sarebbe saggio muoversi subito in questo senso. In altre parole, è il momento di prepararsi all’impatto di un possibile crollo di Twitter. Questo è quanto stanno facendo molti professionisti dell’information security, ed è quello che tutti dovrebbero fare ora.”
Cinque motivi di preoccupazione
Intorno a Twitter vi sono cinque aree di preoccupazione legate alle sue caratteristiche di sicurezza, privacy e sostenibilità operativa.
- La massiccia, improvvisa e imprevista ondata di licenziamenti
- Caos e incertezza sulle verifiche degli account e il contrasto alla disinformazione
- Dubbi sulla capacità o volontà di Twitter di rispettare i principali requisiti normativi di sicurezza e riservatezza
- La sostenibilità finanziaria di Twitter e la capacità di continuare a operare
- Indicazioni secondo le quali l’attuale livello di caos e imprevedibilità è destinato a continuare o addirittura peggiorare
I report pubblicati dai media e (ironicamente) anche su Twitter indicano che la piattaforma ha perso il 50-80% di tutto il personale attivo nell’arco di meno di quattro settimane e questo rappresenta un enorme rischio potenziale per gli utenti di Twitter in termini di sicurezza e privacy della piattaforma e dei suoi dati. Molto semplicemente potrebbero non esserci sufficienti persone (o non esserci del tutto) che possano e vogliano continuare a proteggere gli utenti, i sistemi e i suoi dati dai cyberattacchi.
I rischi legati a questa situazione sono due. Per prima cosa, i cybercriminali potrebbero essere in grado di utilizzare Twitter come piattaforma per colpire le loro vittime con spam, phishing, scam o altre tipologie di attacchi. In secondo luogo, potrebbero riuscire a compromettere e violare i sistemi per raccogliere e sottrarre dati. Quest’ultimo punto è particolarmente preoccupante dal momento che la piattaforma contiene molte informazioni sensibili potenzialmente di valore.
Il caos e l’incertezza intorno alla verifica degli account e al contrasto alla disinformazione rappresentano un altro motivo di rischio salito alla ribalta dopo l’acquisizione di Musk. Twitter ha prima rilasciato e poi richiamato una nuova offerta Twitter Blue che, a fronte di 8 dollari e nessuna verifica effettiva, avrebbe fornito ai titolari degli account lo stesso sigillo blu di verifica che è stato usato per anni per aiutare gli utenti Twitter a distinguere l’autenticità di account importanti e popolari. Questa offerta era stata attivata continuando a mantenere il metodo di verifica legacy, creando confusione e azioni scorrette che in pochi giorni hanno reso impossibile differenziare gli account legittimi da quelli falsi. Come conseguenza, il meccanismo di verifica fiduciaria degli account di Twitter è ormai distrutto.
Questo problema si innesta in un altro, in quanto Twitter ha combattuto la disinformazione sulla piattaforma per anni e con i problemi di personale già citati precedentemente, ad oggi Twitter appare in una posizione ancora più debole per contrastare tale fenomeno.
Un altro aspetto preoccupante riguarda la capacità e la volontà di Twitter di rispettare gli obblighi normativi come quelli previsti dalla FTC (Federal Trade Commission), dal testo del GDPR (General Data Protection Regulation) europeo e altri. Si sta già dibattendo sulla questione che Twitter possa essere o meno in violazione del decreto FTC e della normativa GDPR.
Non si è mai vista una situazione nella quale una piattaforma di queste dimensioni e importanza si allontani tanto rapidamente dalla conformità a questa tipologia di normative. Tale rischio è sicuramente legato alla situazione finanziaria di Twitter confermata dallo stesso Musk, che ha parlato della pessima situazione finanziaria in cui versa Twitter e delle relative difficoltà di generare profitti.
Di conseguenza sorge la questione aperta sulla possibilità che Twitter o l’accesso a Twitter venga bloccato improvvisamente da una o più di questi enti regolatori.
Un’altra domanda che sorge analizzando la situazione finanziaria di Twitter è: se la società dovesse dichiarare fallimento, cosa accadrebbe a tutti i dati e ai sistemi che li contengono? Verrebbero liquidati? I finanziatori, tra cui fondi dell’Arabia Saudita e del Qatar, sarebbero in grado di entrare in possesso di dati e sistemi e controllarli? Ancora una volta si tratta di un territorio inesplorato e quindi la risposta è: non lo sappiamo.
Infine, forse il punto più importante, è che la situazione attuale di Twitter molto confusa. Ciò rende quasi impossibile valutarne i rischi, creando inoltre un ambiente che favorisce potenziali attacchi informatici.
Con tutti questi punti interrogativi è buona regola prepararsi al peggio. Questo significa prepararsi ai casi in cui la sicurezza e la privacy di Twitter si riducano notevolmente, il sito scompaia di colpo senza preavviso e le informazioni degli account finiscano nelle mani di persone malintenzionate.
Di fronte a questo scenario ci sono cose che si possono e si dovrebbero fare per proteggere se stessi e le proprie informazioni.
Cinque passi per prepararsi al peggio e mettersi al riparo
L’obiettivo di queste azioni è quello di mitigare i rischi per sé e per i propri dati in termini di sicurezza, privacy e disponibilità. Sono azioni che dovrebbe intraprendere chiunque abbia avuto un account Twitter. Anche chi non prevede di usare più la piattaforma può essere comunque esposto ad alcuni rischi dovuti all’utilizzo precedente.
- Procurarsi una copia di tutte le proprie informazioni Twitter.
- Eliminare da Twitter tutte le informazioni personali e sensibili.
- Proteggere l’accesso al proprio account Twitter.
- Proteggere la propria presenza su Twitter.
- Non credere all’identità di nessuno se non previa verifica delle informazioni fornite
Una delle prime cose da fare è quella di mitigare il rischio che le informazioni importanti che si tengono su Twitter possano scomparire. Se Twitter dovesse diventare inaccessibile a causa di decisioni governative o azioni dei creditori, tutte le informazioni contenute sulla piattaforma potrebbero scomparire senza preavviso ed è quindi consigliabile usufruire della funzione di Twitter che permette di scaricare i propri dati e di farne una copia.
Come detto prima, uno dei rischi maggiori è che le informazioni personali o sensibili residenti su Twitter possano finire in mano a cybercriminali, attori statali o altri malintenzionati. A questo punto la miglior protezione è quella di rimuovere quante più informazioni personali e sensibili possibili. Prima di far ciò, tuttavia, occorre assicurarsi di scaricare tutte le copie dei dati che si desidera conservare.
Proteggere l’accesso al proprio account Twitter è sempre importante, ma nello scenario attuale lo è come non mai. La situazione del personale prima descritta porta a una riduzione dei team di Twitter, che non saranno nella posizione di contrastare i furti di account o di aiutare a recuperarli come in passato. Questo significa che bisogna assolutamente accertarsi di usare per l’account Twitter una password che non venga usata altrove. Bisognerebbe inoltre abilitare l’autenticazione multi-fattore usando una app o una security key, disconnettere qualsiasi app collegata all’account Twitter e usarla solamente quando si è connessi all’account e infine assicurarsi di fare logout da qualsiasi altra sessione.
Oltre a proteggere l’accesso al proprio account, è necessario proteggere l’account stesso. Se si intende rimanere attivi su Twitter, è necessario prendere seriamente in considerazione la possibilità di proteggere l’account con la funzionalità lucchetto: con tale modalità infatti è possibile controllare chi può vedere i propri post e interagire, limitando le interazioni solo ai propri follower.
Al contrario, se non si intende rimanere attivi su Twitter, è possibile disattivare l’account, senza la necessità di cancellarlo del tutto. Se si elimina un account, ciò rende di fatto nuovamente libero e disponibile il nome e cognome fino a quel momento abbinati all’account utilizzato dall’utente, che potranno dunque essere utilizzati da altri, spacciandosi per l’utente a fini fraudolenti e peggiorando la già difficile situazione degli impostori e della disinformazione.
L’ultima cosa importante da fare è cambiare il modo di approcciare Twitter: non fidarsi di nessuno e verificare identità e informazioni. In particolare, evitare di convalidare account Twitter con altri account Twitter: abbiamo già osservato diversi account falsi che si convalidano a vicenda per creare l’illusione di legittimità.
In conclusione
Nell’arco della storia non abbiamo mai affrontato una situazione come questa dove un sito di importanza sociale, politica ed economica come Twitter finisce in uno stato di grande confusione così velocemente a così tanti livelli. Di conseguenza è difficile sapere esattamente cosa accadrà e, quindi, cosa è opportuno fare. Quello che noi operatori dell’information security possiamo dire è che non è il caso di farsi prendere dal panico, ma è il momento di intraprendere rapidamente azioni decisive per mitigare la concreta possibilità che alcuni o tutti gli scenari di caso peggiore sopra descritti possano realizzarsi.