Gli indirizzi e-mail di 200 milioni di utenti di Twitter sarebbero trapelati online e regalati in un forum illegale.
Chi usa Twitter può controllare su https://haveibeenpwned.com/ che ha appena messo a disposizione anche questo data leak ( le password non sono trapelate).
I malintenzionati hanno sfruttato una vulnerabilità di Twitter corretta nel 2021 per procurarsi i dati degli utenti.
Al3x ha scritto: ↑gio gen 12, 2023 9:17 am
Penso che non si possa fare molto in questo caso
Be', l'indirizzo che usi per Twitter è ormai nelle mani sbagliate.
Se non lo hai già fatto potresti minimizzare i danni sostituendo quella email con diversi alias (e ovviamente password) nei siti dove la usi.
Dove invece non puoi usare alias puoi sempre crearti indirizzi protonmail, mailfence, tutanota etc gratuiti.
Certo, la casella in questione è condannata, le probabilità di ricevere SPAM sono elevate così come eventuali tentativi di accedere al tuo account Twitter.
leofelix ha scritto: ↑gio gen 12, 2023 2:31 pm
le probabilità di ricevere SPAM sono elevate così come eventuali tentativi di accedere al tuo account Twitter.
in verità è una casella gmail e lo spam e praticamente assente da sempre
Al3x ha scritto: ↑gio gen 12, 2023 4:21 pm
in verità è una casella gmail e lo spam e praticamente assente da sempre
Be', allora non mi resta che augurarti che rimanga spam-free.
Intanto, se può interessare, Twitter nega che quei dati provengano dai loro sistemi https://www.bleepingcomputer.com/news/s ... s-systems/
La cosa però suona di pallida scusa, visto che il data leak è stato verificato e tu stesso mi confermi che anche il tuo indirizzo e-mail associato al tuo account twitter fa parte della lista
Prego Matilda12,
Sono al sicuro anche io.
Non uso Twitter .
Ho avuto un account in passato ma durò poco, non mi piace come è strutturato quel social.
Ora, onestamente, ancora meno.
Credo che il nuovo proprietario stia facendo un errore dopo l'altro.
Mi dà l'idea che l'acquisto di Twitter per lui sia stato come un capriccio, un capriccio da 44 miliardi di dollari.
E chi li ha visti mai 44 miliardi di dollari
Al3x ha scritto: ↑gio gen 12, 2023 9:17 am
a me risulta questo
Compromised data: Email addresses, Names, Social media profiles, Usernames
Penso che non si possa fare molto in questo caso
Io ho entrambi gli indirizzi email degli account twitter in diverse pastes, non mi risultano che abbiano preso dati sui miei accounts. Perché?
Uno era di suo compromesso di già, ma ha la 2fa e la password per accedere è complessa.Similmente il secondo. I due account di Twiiter hanno anche loro la 2fa ed essendo lo smemorato di Collegno mi capita di cambiare agli account la password addirittura più volte al giorno (sì). Il più giovane dei due,poi, è stato coinvolto nel furto di un database di un sito di mod Doom. In quel caso hanno solo l'indirizzo gmail, se lo mangiano nell'insalata, forse ha più calorie. Di molti miei indirizzi risultano nelle pastes, l'unica cosa che subiscono è un forte spam, che blocco quasi giornalmente.
raffaele32 ha scritto: ↑ven gen 20, 2023 12:55 am
Io ho entrambi gli indirizzi email degli account twitter in diverse pastes, non mi risultano che abbiano preso dati sui miei accounts. Perché?
Ciao,
perdonami, non mi è chiara la tua richiesta.
Vuoi dire che i tuoi account non appaiono nel data leak di Twitter?
Se è così si vede che non sei tra a i 200 milioni di utenti coinvolti.
Oppure non capisci come mai pur essendo caduto nel data breach di Twitter nessuno ha tentato di accedere al tuo account?
In questo caso sembra che le password non siano trapelate .
I "paste" sono elenchi di indirizzi di posta e password associate solitamente ospitati su siti come pastebin, non sempre ne è chiara l'origine e spesso si tratta di dati già trovati in vecchi data breach o addirittura completamente falsi.
Su haveibeenpawnd è possibile conoscere se i propri email sono caduti in data breach (violazione dati), data leak (fuga di dati), spam list e "paste" noti.
Il sito offre anche la possibilità di controllare se le password che si usano sono cadute in qualche violazione di dati noti. https://haveibeenpwned.com/Passwords
Nemmeno io ricordo le password che uso, per questo uso un gestore di password, devo solo ricordare quella per accedere , naturalmente anche quell'account protetto da 2fa.
Per la precisione uso Bitwarden, ma chi teme il Cloud può sempre usare un gestore di password offline come KeePass .
Finché lo spam viene intercettato c'è poco di che preoccuparsi, tuttavia rimane sempre un fastidio.
È importante non sottovalutare il fatto che le tecniche di ingegneria sociale si fanno sempre più sofisticate al punto di riuscire a trarre in inganno anche i più smaliziati.
Ciao leo. Si. mi sono chiesto come mai non sia finito nei paste delle password. Ricordo che sono stato avvisato da Twitter che la mia password era stata visualizzata in un altro pc, così ho repentinamente cambiato la password stessa. Da allora l'ho cambiata forse altre cinque di volte. Ho visto che gl iindirizzi email sono presenti in alcune liste (il primo libero in due liste che non hanno password ed una in cui ci sono i leak di Badoo, sito che non ho usato io di persona, ma un'altra persona) ed il gmail nel tentato leak di doomworld. Vuol dire che sono stato fortunato. Attualmente ho i due account twitter sotto doppia autenticazione da app soltano, in quanto ho stupidamente rimosso il numero di telefono. Forse posso ritenermi fortunato.
raffaele32 ha scritto: ↑sab gen 21, 2023 1:52 am
Ciao leo. Si. mi sono chiesto come mai non sia finito nei paste delle password. Ricordo che sono stato avvisato da Twitter che la mia password era stata visualizzata in un altro pc, così ho repentinamente cambiato la password stessa.
Grazie, adesso ho capito.
Credo che l'incidente che ti è capitato non abbia alcun collegamento con questo data leak, anche se certamente è lecito sospettarlo.
Qualcuno ha tentato di fare accesso a uno dei tuoi account di Twitter e ti è arrivato un avviso via email.
Twitter ti avrà comunicato almeno anche l'IP address e il tipo di dispositivo da dove è avvenuto l'accesso.
Allora, o qualcuno ha indovinato la tua password oppure la conosceva già assieme alla email associata oppure qualcuno ha solo tentato l'accesso sbagliando password .
Twitter non può averti comunicato che qualcuno avrebbe visualizzato la tua password perché non la può conoscere in quanto criptata.
Se hai l'abitudine di usare la stessa password, o una variazione della stessa, per tutti i siti che frequenti devi cambiarla.
Mi dici anche che un tuo indirizzo email è caduto nel data breach di Badoo e che quell'indirizzo però lo usava anche qualcuno che conosci per quel social, significa che hai condiviso con questa persona delle password.
Ora, anche se si tratta di una persona molto cara non bisognerebbe mai condividere con terzi dati sensibili e personali.
Magari le crei un indirizzo email tutto per lei .
Per quanto ne so potrebbe anche essere questa persona ad aver fatto accesso al tuo account Twitter magari anche solo per errore o per semplice curiosità.
Per questo è nel tuo interesse iniziare a usare un gestore di password, potrai creare password complesse e completamente diverse per ogni account che usi senza necessità di ricordarle.
Se usi un PC condiviso potresti creare un profilo solo per l'altra persona.
Ti eviterai problemi molto seri.
Nel caso un tuo indirizzo dovesse cadere in un altro data breach, usando password completamente diverse per ogni account associato eventuali malintenzionati non potranno accedere usando la password trapelata anche tentando eventuali variazioni della stessa (questo tipo di attacco si chiama "Credential stuffing attack").
Se cerchi nel sito di Turbolab troverai un mio articolo su Bitwarden e un altro articolo su KeePass (a opera di un altro utente)
Nella fattispecie Troy Hunt aveva trovato molti indirizzi di persone che non avevano mai creato un account su Badoo eppure il loro email compariva negli elenchi trovati.
L'unica cosa che questi indirizzi di posta avevano in comune è che nell'elenco trovato apparivano sotto una cartella chiamata appunto "Badoo".
Non è da escludere che invece quell'elenco di account violati provengano da altri data breach.
Mi dici anche che un tuo indirizzo email è caduto nel data breach di Badoo e che quell'indirizzo però lo usava anche qualcuno che conosci per quel social, significa che hai condiviso con questa persona delle password.
Ora, anche se si tratta di una persona molto cara non bisognerebbe mai condividere con terzi dati sensibili e personali.
Magari le crei un indirizzo email tutto per lei .
Per quanto ne so potrebbe anche essere questa persona ad aver fatto accesso al tuo account Twitter magari anche solo per errore o per semplice curiosità.
Non credo che quella persona abbia fatto login con le creednziali di twitter in quanto è dal 2012 che uso un pc personale per internet. L'altra postazione potrebbe essere il nuovo portatile che ho usato nel periodo in cui tutto era su teams 82021) oppure il lumia 535 con la sua app (Raven for twitter). La storia di Badoo risaliva ad un periodo (il 2014 o giù di lì) in cui condivisi l'indirizzo email con mio fratello, ma prima di aprire il blog su Libero ho prima rimasto quell'indirizzo inutilizzato per parecchio ed ho cambiato più volte la password ,che fdal 2020 sono lettere e numeri con caratteri speciali e ti dico mio fratello non è in grado di gestire più di una email(la sua con la stessa password), quando gli è servita una nuova mail gli ho dato un indirizzo nuovo di pacca. Poi mio fratello non vive in casa con me dal 2019, per questo mi sono allarmato, altre persone in casa non sono in grado di gestire i miei account per questo mi sono allarmato e parecchio. Vedrò il gestore di password quello offline, grazie leo
Di niente, figurati raffaele32,
Ora quel che conta è che tu abbia ripreso il controllo del tuo account se mai lo avevi perso.
È normale preoccuparsi quando succedono cose del genere, è umano.
Ecco, ti faccio un esempio.
A Natale ho preso uno smartphone nuovo per mia madre che non è certo più una giovincella.
Mentre le configuravo i suoi account nel nuovo cellulare di avvisi del genere me ne sono arrivati e anche io mi sono sulle prime allarmato.
In realtà erano stati individuati degli accessi da un dispositivo diverso ma da stesso ip address.
Non su Twitter perché mia madre non lo usa.
Mia madre ha iniziato a interessarsi a internet alcuni anni fa e certe cose non le sa ancora fare, quindi devo intervenire io.
Così mi occupo io della manutenzione e sicurezza dei suoi dispositivi.
leofelix ha scritto: ↑ven gen 06, 2023 1:36 am
Chi usa Twitter può controllare su https://haveibeenpwned.com/ che ha appena messo a disposizione anche questo data leak ( le password non sono trapelate).
Per informazione (correggetemi se sbaglio): le password non dovrebbero MAI poter trapelare, perché codificate in md5 (vecchio stile) o nel più moderno sha256, per cui un crack del database potrebbe portare al massimo alla sottrazione degli hash delle password, dalle quali non è in alcun modo possibile risalire alle password originali stesse (https://it.wikipedia.org/wiki/Secure_Ha ... nvertibile).
Quando si impara a scrivere siti web in PHP è uno dei concetti fondamentali, mi auguro che lo applichino, a maggior ragione, le multinazionali più importanti... altrimenti siamo veramente messi male
maurotramonti ha scritto: ↑mer feb 01, 2023 3:04 pm
Per informazione (correggetemi se sbaglio): le password non dovrebbero MAI poter trapelare, perché codificate in md5 (vecchio stile) o nel più moderno sha256, per cui un crack del database potrebbe portare al massimo alla sottrazione degli hash delle password, dalle quali non è in alcun modo possibile risalire alle password originali stesse (https://it.wikipedia.org/wiki/Secure_Ha ... nvertibile).
In linea generale il ragionamento è corretto. Nello specifico, e sempre in maniera semplicistica, di solito non si utilizza solo l'hash della password perché tramite rainbow table potrebbe essere possibile riuscire a risalire alla password in un tempo relativamente breve. Per evitare questo si è soliti "salare" la password e utilizzare funzioni di derivazione delle chiavi crittografiche per aumentare la resistenza ai tentativi di decriptazione a forza bruta.
maurotramonti ha scritto:Quando si impara a scrivere siti web in PHP è uno dei concetti fondamentali, mi auguro che lo applichino, a maggior ragione, le multinazionali più importanti... altrimenti siamo veramente messi male
Il problema non è tanto l'utilizzo o meno della crittografia a protezione delle password ma il modo in cui viene implementato e la sicurezza generale del sistema che le gestisce.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.