Cerca nel blog

2012/12/04

Falla di Twitter permette messaggi falsi

Questo articolo vi arriva grazie alla gentile donazione di “filiberto.ga*” e alla segnalazione di Mikko Hypponen ed è stato aggiornato dopo la pubblicazione iniziale.

C'è una vulnerabilità in Twitter che permette di inviare un tweet spacciandosi per un altro utente. Un malintenzionato può quindi impersonarvi su Twitter: gli basta sapere quale numero di telefonino avete associato al vostro account Twitter.

Se lo sa, usa un gateway SMS adatto per falsificare il numero del mittente e ci mette il vostro, così Twitter crede che il tweet provenga da voi e lo pubblica a nome vostro. Oltre ai tweet falsi, l'impostore può alterare il vostro account Twitter usando questi comandi via SMS (la versione italiana dei comandi è qui).

La scoperta è di Jonathan Rudenberg, che la descrive qui insieme ai rimedi possibili: rimuovere da Twitter il proprio numero di cellulare (andando qui e cliccando su Elimina il mio numero) oppure aggiungere un PIN all'account, in modo che il malintenzionato debba scoprire il PIN per potersi spacciare per voi.

Aggiornamento (21:30): Ars Technica scrive che la falla è stata parzialmente corretta.


Nessun commento: