Twitter: il 2FA aiutava i governi a spiare le persone

Al pari di molte altre aziende impegnate nell'IT, anche Twitter, al fine di offrire un maggior grado di sicurezza ai suoi utenti, ha implementato l'autenticazione a due fattori nei suoi sistemi e permette agli utenti di attivarla. Peccato però che gli sforzi profusi per evitare accessi fraudolenti e fughe di dati non siano serviti a tutelare gli utilizzatori del celebre servizio di microblogging ed anzi abbiano avuto un effetto boomerang.

Twitter: 2FA usato per tracciare e monitorare gli smartphone

Nel corso delle ultime ore è infatti emerso che Twitter ha deciso di interrompere i suoi rapporti con Mitto AG, la società con sede in Svizzera scelta per la gestione del sistema di autenticazione a due fattori, perché pare che il co-fondatore di quest'ultima abbia assistito i governi nel tracciare e monitorare gli smartphone degli utenti a cui venivano inviati i messaggi di testo per la doppia autenticazione. In alcuni casi sembra addirittura siano stati ricavati i registri delle chiamate.

Per riuscirci, sarebbe stata sfruttata una vulnerabilità nel protocollo di telecomunicazione mobile Signaling System 7 (SS7), nota almeno dal 2016 e avente come principale difetto di sicurezza il fatto che può essere adoperata per ascoltare le chiamate, leggere i messaggi degli utenti e tenere traccia della loro posizione.

Riguardo la questione, un portavoce di Mitto AG ha dichiarato quanto segue.

Mitto AG non divulga informazioni sui propri partner commerciali, attraverso nessun canale – ufficiale o non ufficiale – punto e basta. In genere, tali accordi sono di natura reciproca, con entrambe le parti che si impegnano a proteggere la privacy e l'integrità dell'altra.

Considerando le circostanze, in generale, è preferibile evitare di sfruttare l'autenticazione a due fattori a mezzo SMS e rivolgersi piuttosto ad app di autenticazione fornite da terze parti, come ad esempio Google Authenticator.