Cerca nel blog

2022/11/10

Twitter, è ora di proteggere meglio i nostri account

Ultimo aggiornamento: 2022/11/17 10:40. L’articolo è stato riscritto estesamente per tenere conto degli aggiornamenti ed è disponibile anche in versione podcast audio. Immagine generata appositamente da Lexica.art.

Con le dimissioni dei responsabili per la privacy e la sicurezza e metà del personale licenziato, Twitter è particolarmente vulnerabile ad attacchi o a passi falsi dei suoi addetti, sotto stress per le richieste sempre più incoerenti ed estreme di Elon Musk di effettuare modifiche senza effettuare prove preliminari.

Sull’azienda pesa anche un consent agreement con la FTC statunitense, che prevede che ogni nuovo prodotto o servizio sia sottoposto a un vaglio documentato di sicurezza consegnato per iscritto. In caso di inadempienza, Twitter dovrebbe pagare sanzioni pesantissime, come già successo a Facebook. L’impossibilità di fornire questa documentazione a causa delle richieste continue di modifiche fatte da Elon Musk sarebbe la ragione principale delle dimissioni dei responsabili di privacy e sicurezza.

Vista la fragilità di Twitter, se lo usate è opportuno fare una copia di backup del vostro account: trovate le istruzioni nelle pagine Web di assistenza clienti di Twitter. Una volta fatto il backup, vi conviene eliminare qualunque messaggio privato potenzialmente imbarazzante.

È infatti importante ricordare che i messaggi "privati" su Twitter, i cosiddetti DM, non sono cifrati end-to-end; non lo sono da anni, non è una novità. Per cui i dipendenti di Twitter possono leggerli e un loro errore tecnico può esporli a malintenzionati. Oggi più che mai, quindi, è sconsigliabile usarli per qualunque comunicazione che potrebbe causarvi disagio o imbarazzo qualora diventasse pubblica.

C’è anche il rischio che il personale neoassunto potrebbe approfittare di eventuali accessi ai DM per scopi personali. Visto che è stato assunto di corsa, non si sa se ci sia stato un vaglio o vetting degli assunti.

In ogni caso, è evidente che il momento di minore sicurezza di qualunque azienda è quello in cui sta avvenendo un grande ricambio del personale. Se poi dall’alto arrivano richieste continue di modifiche da mettere immediatamente in produzione, il rischio di un passo falso è molto alto.

A questo punto credo che sia opportuno dare quattro consigli:

  1. Fate un backup del vostro account Twitter
  2. Attivate l'autenticazione a due fattori, se non l'avete già fatto, ma attenzione a non uscire dall’account
  3. Eliminate i vostri DM
  4. Usate Signal o altre app con cifratura end-to-end per i messaggi non pubblici

Chiedo a chiunque abbia scambiato DM con me di cancellarli, come sto facendo io. Non ho mai usato i DM per cose particolarmente sensibili, ma preferisco fare pulizia totale. Grazie.

Come fare un backup del proprio account

Per fare il backup del proprio account, le istruzioni in italiano sono qui su Twitter

Si riceve un file ZIP che, una volta scompattato, include un file HTML e delle cartelle contenenti i dati. Il file HTML fa da indice sfogliabile (ma è molto incompleto; leggete i file README.txt inclusi nello ZIP per sapere come sfogliare tutti i dati):

Cliccando sulle voci Tweet e Messaggi Diretti della colonna di sinistra compare un elenco cercabile delle rispettive sezioni. Consiglio comunque di leggere direttamente i file JSON forniti nello ZIP.

Come eliminare i DM

Attenzione: eliminare i DM li cancella dai vostri dispositivi ma non da quelli del destinatario e neanche dai server di Twitter. È comunque meglio di niente, perché se qualcuno vi ruba l’account, approfittando magari di qualche falla di Twitter, non potrà leggere i vostri DM [Graham Cluley].

Potete inoltre chiedere al destinatario di eliminare i DM che vi siete scambiati, oppure eliminare completamente il vostro account Twitter. 

Per eliminare rapidamente tutti i messaggi privati scambiati con un dato utente, sull'app si può toccare l'icona di info in alto a destra nella conversazione con l'utente in questione e poi toccare "Elimina conversazione".

Attenzione all’autenticazione a due fattori

A questo punto normalmente vi consiglierei di verificare di aver attivato l’autenticazione a due fattori, ma a riprova della fragilità di Twitter in queste prime settimane della gestione Musk, molti utenti stanno segnalando che una delle modifiche richieste da Elon Musk ha probabilmente danneggiato il sistema di autenticazione, per cui chi esce dal proprio account e ha l’autenticazione a due fattori non riesce a rientrarvi. Siate prudenti.

Nessun commento: