Un blog di Paolo Attivissimo, giornalista informatico e cacciatore di bufale
Informativa privacy e cookie: Questo blog include cookie di terze parti. Non miei (dettagli)
Prossimi eventi pubblici – Sostegno a questo blog – Sci-Fi Universe
Cerca nel blog
2012/12/04
Falla di Twitter permette messaggi falsi
Questo articolo vi arriva grazie alla gentile donazione di “filiberto.ga*” e alla segnalazione di Mikko Hypponen ed è stato aggiornato dopo la pubblicazione iniziale.
C'è una vulnerabilità in Twitter che permette di inviare un tweet spacciandosi per un altro utente. Un malintenzionato può quindi impersonarvi su Twitter: gli basta sapere quale numero di telefonino avete associato al vostro account Twitter.
Se lo sa, usa un gateway SMS adatto per falsificare il numero del mittente e ci mette il vostro, così Twitter crede che il tweet provenga da voi e lo pubblica a nome vostro. Oltre ai tweet falsi, l'impostore può alterare il vostro account Twitter usando questi comandi via SMS (la versione italiana dei comandi è qui).
La scoperta è di Jonathan Rudenberg, che la descrive qui insieme ai rimedi possibili: rimuovere da Twitter il proprio numero di cellulare (andando qui e cliccando su Elimina il mio numero) oppure aggiungere un PIN all'account, in modo che il malintenzionato debba scoprire il PIN per potersi spacciare per voi.
Aggiornamento (21:30): Ars Technica scrive che la falla è stata parzialmente corretta.
C'è una vulnerabilità in Twitter che permette di inviare un tweet spacciandosi per un altro utente. Un malintenzionato può quindi impersonarvi su Twitter: gli basta sapere quale numero di telefonino avete associato al vostro account Twitter.
Se lo sa, usa un gateway SMS adatto per falsificare il numero del mittente e ci mette il vostro, così Twitter crede che il tweet provenga da voi e lo pubblica a nome vostro. Oltre ai tweet falsi, l'impostore può alterare il vostro account Twitter usando questi comandi via SMS (la versione italiana dei comandi è qui).
La scoperta è di Jonathan Rudenberg, che la descrive qui insieme ai rimedi possibili: rimuovere da Twitter il proprio numero di cellulare (andando qui e cliccando su Elimina il mio numero) oppure aggiungere un PIN all'account, in modo che il malintenzionato debba scoprire il PIN per potersi spacciare per voi.
Aggiornamento (21:30): Ars Technica scrive che la falla è stata parzialmente corretta.
Iscriviti a:
Commenti sul post (Atom)
Nessun commento:
Posta un commento