Mercoledì pomeriggio un gruppo di hacker ha preso il controllo di Twitter per più di tre ore e ha cominciato a usare questo potere per attribuire a persone molto famose, che hanno milioni di follower, un messaggio che chiedeva soldi in beneficenza contro il Covid-19 (da versare in bitcoin, che non possono essere tracciati). Tra i profili che chiedevano denaro c’erano quelli dell’ex presidente americano Barack Obama, del candidato democratico Joe Biden, del capo di Amazon Jeff Bezos, del capo di Microsoft Bill Gates, dell’investitore Warren Buffett e altri. Meno di quattrocento persone hanno risposto e hanno mandato circa centomila dollari. E’ stata una scorreria molto rozza ma gli hacker hanno avuto in mano per quattro ore le chiavi del mondo – e si perdoni la metafora giornalistica considerata la gravità del fatto. La lista degli scenari e dei danni possibili quando controlli Twitter – anche se per un periodo di tempo limitato – è molto ampia e più spaventosa di una finta raccolta di beneficenza. All’inizio di maggio l’imprenditore Elon Musk fece perdere alle azioni di Tesla circa tredici miliardi di dollari di valore con un solo tweet e ieri anche Musk era sulla lista degli account sequestrati. Con un minimo di organizzazione gli impostori avrebbero potuto condizionare l’andamento della Borsa e avrebbero potuto speculare in pochi minuti per cifre molto più alte di quella che hanno poi incassato. E questa è soltanto un’ipotesi. Cosa avrebbero potuto fare se il giorno delle presidenziali americane avessero deciso di seminare il panico fra gli elettori? O se avessero deciso di vendere la loro capacità di accesso ai servizi segreti della Cina, dell’Arabia Saudita o della Russia – cosa che non è da escludere sia successa? 

Mercoledì pomeriggio un gruppo di hacker ha preso il controllo di Twitter per più di tre ore e ha cominciato a usare questo potere per attribuire a persone molto famose, che hanno milioni di follower, un messaggio che chiedeva soldi in beneficenza contro il Covid-19 (da versare in bitcoin, che non possono essere tracciati). Tra i profili che chiedevano denaro c’erano quelli dell’ex presidente americano Barack Obama, del candidato democratico Joe Biden, del capo di Amazon Jeff Bezos, del capo di Microsoft Bill Gates, dell’investitore Warren Buffett e altri. Meno di quattrocento persone hanno risposto e hanno mandato circa centomila dollari. E’ stata una scorreria molto rozza ma gli hacker hanno avuto in mano per quattro ore le chiavi del mondo – e si perdoni la metafora giornalistica considerata la gravità del fatto. La lista degli scenari e dei danni possibili quando controlli Twitter – anche se per un periodo di tempo limitato – è molto ampia e più spaventosa di una finta raccolta di beneficenza. All’inizio di maggio l’imprenditore Elon Musk fece perdere alle azioni di Tesla circa tredici miliardi di dollari di valore con un solo tweet e ieri anche Musk era sulla lista degli account sequestrati. Con un minimo di organizzazione gli impostori avrebbero potuto condizionare l’andamento della Borsa e avrebbero potuto speculare in pochi minuti per cifre molto più alte di quella che hanno poi incassato. E questa è soltanto un’ipotesi. Cosa avrebbero potuto fare se il giorno delle presidenziali americane avessero deciso di seminare il panico fra gli elettori? O se avessero deciso di vendere la loro capacità di accesso ai servizi segreti della Cina, dell’Arabia Saudita o della Russia – cosa che non è da escludere sia successa? 

Durante l’attacco un senatore repubblicano, Josh Howley, ha scritto una lettera al capo di Twitter, Jack Dorsey, per chiedergli di collaborare con l’Fbi e il dipartimento di Giustizia e rafforzare la sicurezza della sua azienda. Che l’inviolabilità di Twitter sia trattata come una questione di sicurezza nazionale è un passo logico. Gli impostori hanno avuto accesso a prerogative del sito che in teoria sono in mano soltanto a Twitter, come si è capito dalla tecnica che hanno usato per buttare i legittimi proprietari fuori dai loro account. Sappiamo tutti che quando non ci ricordiamo la password per accedere a un account personale di solito possiamo chiedere al sito di mandare al nostro indirizzo mail un link per cambiare la password. Gli impostori hanno sostituito quell’indirizzo mail con un indirizzo loro. Poi hanno chiesto di ricevere il link per cambiare password alla loro mail, hanno disattivato il doppio fattore di certificazione (che per esempio è un codice che ti arriva via telefono) e hanno preso possesso di tutti gli account che volevano. A quel punto Twitter ha fatto la sola cosa che poteva fare: bloccare tutti gli account, in modo da guadagnare tempo e capirci qualcosa. Anzi, non li ha bloccati tutti perché aveva capito che l’attacco era diretto soltanto a quelli più in vista, quindi ha bloccato tutti gli account con la spunta blu, che appartengono a persone, istituzioni e aziende considerate più importanti degli altri utenti. L’accordo non ha coinvolto l’account del presidente americano, Donald Trump, perché considerata la sua carica il suo profilo ha uno speciale strato aggiuntivo di protezione. Proprio per evitare che qualcuno scateni una guerra a nome suo.

Quei due superpoteri – sostituire l’indirizzo mail e bloccare la doppia certificazione – sono in mano soltanto ai dipendenti di Twitter. Ieri la nota dell’azienda diceva pudicamente che gli impostori hanno violato il sito grazie al “social engineering”: vuol dire che hanno convinto uno o più dipendenti di Twitter a dare loro il controllo, con l’inganno o, come sostiene il sito Motherboard, con la corruzione. L’idea che sia stato soltanto un raid per incassare qualche bitcoin per ora è lo scenario migliore. Ma se adesso qualcuno facesse uscire dei falsi messaggi di Obama a Biden sarebbe dura dimostrare che sono falsi. E’ di nuovo il 2016.