Twitter, dopo l’annuncio di Elon Musk di essere stato salvato dalla bancarotta, ha annunciato che sta limitando l’uso dell’autenticazione a due fattori (2FA) basata su SMS ai suoi abbonati Blue.
“Sebbene [l’autenticazione a due fattori con SMS sia] storicamente una forma popolare di 2FA, purtroppo abbiamo visto 2FA basati sui numeri di telefono essere utilizzati – e abusati – da malintenzionati“, ha affermato la società.
Twitter ha poi aggiunto: “Non consentiremo più agli account di iscriversi al metodo SMS/SMS di 2FA a meno che non siano abbonati a Twitter Blue“.
Gli utenti della piattaforma con l’uccellino azzurro che non si sono abbonati a “Blue” e che si sono registrati per la 2FA basata su SMS hanno tempo fino al 20 marzo 2023 per passare a un metodo alternativo come un’applicazione di autenticazione o una chiave di sicurezza hardware.
Dopo questa data limite, gli abbonati non Blue vedranno la loro opzione disabilitata in automatico.
I metodi alternativi “richiedono il possesso fisico del metodo di autenticazione e sono un ottimo modo per garantire che il tuo account sia sicuro“, ha fatto notare Twitter.
Dato che gli SMS sono sempre stati la forma meno sicura di 2FA, è probabile che si “costringa” le persone a passare a forme di autenticazione sicure.
Secondo i dati di Twitter, solo il 2,6% di tutti gli account attivi ha abilitato almeno una forma di 2FA. Gli SMS rappresentano il 74,4%, seguiti dalle applicazioni di autenticazione (28,9%) e dalle chiavi di sicurezza (0,5%).
Approfondimento: dai “piani alti” di Twitter cosa ci dicono?
Riguardo alla rimozione di questa funzione per chi non si abbona con la spunta blu: “Stiamo facendo questo passo a causa delle vulnerabilità che devono essere affrontate dai gestori di telefonia mobile e della nostra dipendenza dall’avere un numero di telefono collegato per l’autenticazione a due fattori“, ha affermato la società.
La scorsa settimana, Twitter ha riconosciuto che il numero di telefono associato all’account di Dorsey è stato compromesso a causa di ciò che attribuisce alla “supervisione della sicurezza” dell’operatore, consentendo così a una terza parte non autorizzata di pubblicare tweet tramite messaggi di testo dal numero di telefono.
Sebbene non confermato, si sospetta che il numero di Dorsey sia stato vittima di un attacco di scambio di SIM, un trucco di ingegneria sociale utilizzato da criminali informatici per convincere i gestori telefonici a trasferire i servizi cellulari delle loro vittime su una scheda SIM sotto il loro controllo.
Ciò consente sostanzialmente ad hacker e freaker di intercettare chiamate e messaggi di testo, inclusi quelli utilizzati per l’autenticazione a due fattori.
Il tweeting tramite SMS è stato una caratteristica fondamentale di Twitter sin dal suo inizio. Anche il limite di 140 caratteri per i tweet (da allora esteso a 280) è stato originariamente stabilito per riflettere la lunghezza dei messaggi SMS.
Ma la decisione dell’azienda di disabilitare l’opzione sottolinea la gravità del problema, anche perché tali attacchi di scambio di SIM minano l’uso dei numeri di telefono come ID d’accesso.
Per ora, presta molta attenzione alle autorizzazioni delle applicazioni di terze parti di Twitter e assicurati di aver concesso l’accesso solo alle applicazioni di cui ti fidi.
Per quanto riguarda la protezione dallo scambio di SIM, non c’è molto che tu possa fare. Una linea di condotta è passare alle applicazioni di autenticazione come Google Authenticator, anziché al tuo numero di telefono, per l’autenticazione a due fattori. Ma questo è possibile solo sui servizi che lo consentono.
