Dati sensibili di utenti Twitter in vendita: il ricatto che agita Musk

Un enorme archivio comprendente i nomi e i dati sensibili di iscritti a Twitter, sia nel caso in cui questi esistano ancora che qualora si siano cancellati nel tempo, è stato messo in vendita online.

La vendita dei dati

Il responsabile è un certo "Ryushi", che ha scelto di esporre la propria "merce" su un celebre forum noto proprio per la compravendita di informazioni derivanti da "data breach". Per documentare la bontà del contenuto del proprio bottino ai potenziali acquirenti, Ryushi ha caricato una parte dell'infinita documentazione: si tratta di un migliaio circa di personaggi pubblici, alcuni dei quali particolarmente noti come Donald Trump Jr o il reporter investigativo esperto di cybersicurezza Brian Krebs.

Ciò che auspica l'hacker è di riuscire a monetizzare il più possibile dalla sua illecita acquisizione. Nel tentativo di gonfiare le sue tasche, Ryushi, ha contattato direttamente il celebre social network e il suo Ceo, ricattandolo in maniera piuttosto esplicita."Twitter o Elon Musk, se stai leggendo questo, stai già rischiando una multa Gdpr (Regolamento generale sulla protezione dei dati sensibili) per la violazione dei dati di oltre 5,4 milioni di utenti, immaginate quanto possa essere la multa per la divulgazione dei dati di 400 milioni di utenti", esordisce il venditore sul forum, come riportato da Repubblica. "La vostra migliore opzione per evitare di pagare 276 milioni di dollari di multa per aver violato il Gdpr come già fatto Facebook è acquistare esclusivamente questi dati". Un suggerimento che suona come una minaccia, in realtà, quello di Ryushi.

Il ricatto

Tra i dati sensibili a disposizione del futuro acquirente vi sono email e numeri di telefono. Oltre le persone normali, risultano i contatti di celebrità dello sport e dello spettacolo, ma anche politici e aziende di una certa importanza: il rischio di frodi o di cyberattacchi di vario genere diviene particolarmente concreto.

Il detentore di tale mole di informazioni ha addirittura spiegato a eventuali clienti che la vendita sul forum è coperta da un servizio di "escrow", che consiste nella creazione di un deposito di garanzia fornito, in questo caso, direttamente dall'amministratore del forum. Una tutela che permetterà a Ryushi di avere la certezza che il suo archivio venga venduto solo a conclusione dell'intero pagamento. La garanzia per l'acquirente, invece, deriva dal fatto che il versamento di denaro può essere autorizzato solo dopo che il bene in vendita risulti conforme al 100% a quanto dichiarato dal venditore a seguito di verifica da parte del soggetto che mette a disposizione l'escrow.

Cosa può accadere

Bisognerebbe innanzitutto poter stabilire aldilà di ogni ragionevole dubbio se i dati in questione siano reali o se si tratti di una clamorosa bufala fatta per creare il panico fra gli utenti del social. Qualora sia tutto vero, sarebbe da comprendere come un unico utente sia potuto entrare in possesso di una mole di informazioni sensibili di tale portata. "È sempre più probabile che i dati siano validi e che siano stati probabilmente ottenuti da una vulnerabilità nelle interfacce di programmazione che ha consentito agli attaccanti di interrogare i sistemi della piattaforma per ottenere mail e telefono di qualsiasi profilo Twitter", ha commentato l'esperto di sicurezza, Alon Gal, fondatore della società di intelligence Hudson Rock."La falla è simile a quella sfruttata nel caso del data leak di Facebook che ha consentito di accedere ai dati di 533 milioni di utenti e che ha comportato una multa di 275 milioni di dollari a Meta", aggiunge.

Fino a prova contraria, dunque, resta alto l'allarme connesso alla enorme mole di dati sensibili nelle disponibilità di un unico individuo.

Al momento non c'è stata alcuna replica ufficiale al ricatto da parte dei diretti interessati.