Il Garante Privacy irlandese avvia l’indagine sul data breach di Twitter che ha sottratto alla piattaforma di Elon Musk il database di tutti gli iscritti.
L’archivio è privato e la vendita è stata proposta direttamente al Ceo di Twitter e Tesla, già nella bufera per controverse decisioni dopo l’acquisto del micro-blogging. Tuttavia, per dimostrarne l’autenticità e ottenere il riscatto, il venditore ha reso pubblici i dati di mille account. Contengono informazioni personali e sensibili di utenti del calibro dell’esperto di cyber security Brian Krebs e di Donald Trump Jr.
Il nuovo data leak espone i dati riservati di 400 milioni di account. Il database include informazioni di celebrità, aziende e persone comuni che potrebbero essere sfruttate da cyber criminali o da attori nation-state per compiere ulteriori attacchi.
“La notizia di questa grave violazione di dati personali perpetrata ai danni di una grossa fetta di utenti di Twitter”, commenta l’avvocato Anna Cataleta, Senior Partner P4I – Partners4Innovation, “ha suscitato inevitabilmente grande scalpore”.
Ma, soprattutto, “ha generato non pochi dubbi sulla conformità dell’azienda alle norme del GDPR”, avverte l’esperta di privacy. Ecco perché interviene l’Authority irlandese per la protezione dei dati.
Twitter, privacy a rischio sotto Elon Musk: ecco perché e che fare
Indice degli argomenti
Data breach di Twitter: interviene il Garante Privacy irlandese
L’utente di nome Ryushi ha messo in vendita l’archivio di Twitter su Pompompurin, forum per la vendita di informazioni frutto di data breach. Punta a vendere il database in esclusiva a Elon Musk, per aggirare le sanzioni previste dal regolamento Gdpr, in caso di divulgazione di dati.
Twitter infatti sta già rischiando di pagare una sanzione Gdpr, per la divulgazione dei dati di più di 5,4 milioni di utenti. Ad essa potrebbe sommarsi la sanzione in caso di violazione e divulgazione dei dati di 400 milioni di utenti.
“Bisogna osservare”, sottolinea Anna Cataleta, “che il verificarsi di sempre più frequenti episodi di data breach rappresenta una tendenza in crescita, intensificatasi soprattutto a seguito del periodo di pandemia da Covid-19”.
Infatti, “l’avanzamento tecnologico rappresenta un’opportunità, per i criminali informatici, di affinare le tecniche di hackeraggio per scopi illeciti”, sottolinea l’esperta di Privacy.
“Ciò rende necessaria una particolare attenzione (da parte dei titolari del trattamento in primis) al rispetto delle disposizioni del GDPR e soprattutto dei principi di privacy by design e by default“, mette in guardia Cataleta.
Il venditore osserva che lo scraping ai danni di 533 milioni di utenti Facebook è costato a Mark Zuckerberg una multa pari a 276 milioni di dollari. A comminare la sanzione a Meta, per violazione Gdpr, è stata la Commissione irlandese per la protezione dei dati.
“L’avvio dell’indagine da parte della Data Protection Commission nei confronti di Twitter dimostra, ancora una volta”, conclude Anna Cataleta, “come la tutela dei dati personali spesso non rientri tra le priorità di molte aziende e denota quanta strada ci sia ancora da fare per garantire una protezione efficace dei dati personali, nonché il pieno rispetto delle normative sulla data protection”.
L’invito alla vendita in esclusiva
Secondo il venditore, Elon Musk dovrebbe comprare i dati in una vendita esclusiva seguento la modalità della vendita in acconto. Sarebbe garantita dal servizio di escrow che si usa in ambito immobiliare.
Secondo l’amministratore del forum, la copertura del servizio escrow assicura al venditore che l’acquirente ottenga il database solo dopo il pagamento del riscatto. Al contempo, offrirebbe la garanzia che l’acquisto sia conforme alla vendita, dopo aver verificato.
L’attacco
I dati resi noti sembrano validi e sarebbero frutto di un attacco che avrebbe sfruttato una falla nelle API di Twitter, in grado di ricavare mail e numeri di telefono di ogni profilo, presente e passato, della piattaforma di micro-blogging.
Anche nel data leak di Facebook, gli attaccanti sfruttarono una falla simile al caso in esame per interrogare i sistemi ed ottenere i dati di una parte degli utenti di Meta.