TwitterFacebookYoutubeLinkedInInstagramRSS

Podcast FOCUS

Newsletter

Dati Twitter

Dati in vendita sul dark web, anche Twitter dopo Facebook e LinkedIn?

Dopo Facebook e LinkedIn, la società di sicurezza informatica Swascan ha scoperto un altro annuncio su web e dark web di dati di profili Twitter (di cui la veridicità non è accertata) in vendita. Tutti i dettagli

 

Dati degli utenti in vendita sul web e sul dark web.

Prima il furto dei dati personali di 533 milioni di utenti della piattaforma Facebook, avvenuto nel 2019 ma reso noto soltanto la scorsa settimana. Poi la vendita di un database di 500 milioni dati di profili di LinkedIn (anche di utenti italiani), ottenuti con la tecnica dello “scraping” su cui il Garante della Privacy italiano ha aperto un’istruttoria.

Adesso tocca anche a Twitter.

Il 9 aprile la società di sicurezza informatica Swascan ha scoperto un altro annuncio online di vendita di 70 milioni di dati di profili provenienti da Twitter.

A differenza dei casi di Facebook e LinkedIn, la società precisa che al momento non è possibile stabilire la veridicità dei dati o se di fatto l’annuncio in questione è una truffa.

Tutti i dettagli.

L’ANNUNCIO DI DATI DI TWITTER

Swascan ha reso noto di aver identificato un annuncio datato venerdì 9 aprile 2021 che mette in vendita i dati di oltre 70 milioni di utenti Twitter americani.

La società ha scovato l’annuncio attraverso la piattaforma Osint Search Engine di Swascan.

LA TIPOLOGIA DI DATI

Le informazioni disponibili nel database fanno riferimento a: Nome; Cognome; Email; Telefono e Profilo Twitter.

COSA HA RILEVATO SWASCAN

“Sulla base di quanto dichiarato dal “venditore” — fa sapere Swascan — il database in questione viene venduto a 800 dollari e non contiene le password degli accessi”.

“Il fatto che venga indicata l’assenza di password confermerebbe che non si tratta di un database di account compromessi. Per intenderci non è un elenco di account e dati ottenuti attraverso attività di credential stuffing. “Il credential stuffing” è un tipo di attacco informatico in cui l’attaccante utilizza le credenziali username e password ottenute da Data Breach per verificare, attraverso sistemi automatizzati, se le stesse credenziali sono valide anche su altri servizi e portali”, ha specificato la società Swascan.

IL DATA SCRAPING

A questo punto, se il database oggetto dell’annuncio fosse “valido” e “reale” molto probabilmente questi dati, come nel caso di Linkedin e Facebook, potrebbero fare riferimento a dati ottenuti tramite data scraping ovvero l’estrazione automatizzata di dati web per mezzo di software o applicazioni.

NON ACCERTATA LA VERIDICITÀ DEI DATI TWITTER (AL MOMENTO)

Come già detto, al momento Swascan non ha la possibilità di confermare o meno la veridicità dei dati attributi a profili Twitter.

“Anche se la stessa community solleva il dubbio che il database oggetto di questa analisi sia di fatto una truffa e/o che si riferisca a Database di altri annunci di vendita” sottolinea la società .  Nello specifico Swascan ha individuato un altro annuncio pubblicato il 5 aprile 2021 riferito ad una combo list di email e a password di account Twitter. In questo caso si tratta di circa 18 milioni di credenziali Twitter.

ATTENZIONE A POSSIBILI ATTACCHI E TRUFFE

Quel che è certo al momento è che l’attenzione degli utenti deve restare alta.

La presenza di diverse combo list, relative ai nostri dati e credenziali, potrebbe comportare infatti ulteriori attacchi e truffe online.

L’INTERVENTO DEL GARANTE PRIVACY SU LINKEDIN

E proprio sul caso della vendita sul dark web di un archivio con i dati di 500 milioni di profili LinkedIn tra cui e-mail, numeri di telefono, link a profili di altri social e dettagli professionali è intervento il Garante Privacy italiano.

Il Garante per la protezione dei dati personali ha avviato un’istruttoria nei confronti di Linkedin a seguito della violazione dei sistemi del social network che ha determinato la diffusione di dati degli utenti.

Contestualmente, l’Autorità ha adottato un provvedimento con il quale avverte chiunque sia entrato in possesso dei dati personali provenienti dalla violazione che il loro eventuale utilizzo è in contrasto con la normativa in materia di protezione dei dati personali, essendo tali informazioni frutto di un trattamento illecito.

In risposta all’istruttoria, LinkedIn ha commentato che l’azienda garantisce che non c’è stata violazione e/o furto dei dati dei membri di LinkedIn. L’azione che è emersa è il risultato di attività di terze parti esterne all’azienda che hanno raccolto dati pubblici da una varietà di aziende e altre fonti, comprese le informazioni pubbliche del profilo dei membri di LinkedIn.

Articoli correlati

Back To Top