Gli SMS 2FA di Twitter venivano utilizzati per localizzare le persone

Una società svizzera offriva ai governi un servizio di localizzazione degli utenti sfruttando i messaggi 2FA di Twitter.

Avatar di Antonello Buzzi

a cura di Antonello Buzzi

Editor

Al giorno d'oggi, viene consigliato praticamente a chiunque di attivare un sistema di autenticazione a due fattori che, spesso, non fa altro che inviare un messaggio, via SMS o altro mezzo, al proprietario dell'account nel momento in cui viene effettuato l'accesso in modo da confermare l'identità dell'utente. Ovviamente, anche il popolare social Twitter è dotato di tale strumento, ma a quanto pare questo non ha aiutato a proteggere la sicurezza e privacy degli individui.

Recentemente, infatti, come riportato da Bloomberg, il senatore americano Ron Wyden, un democratico dell'Oregon, ha deciso di non avere più a che fare con l'azienda svizzera Mitto A.G., accusata di aver sfruttato i messaggi 2FA di Twitter inviati tramite SMS per tracciare eventuali persone e, in alcuni casi, ottenere i loro log telefonici. Dopo aver portato all'attenzione del pubblico la situazione, anche altre aziende hanno deciso di recidere i loro legami con la società, come Kaleyura e MessageBird.

Apparentemente, in base alle investigazioni, Ilja Gorelik, co-fondatore e Chief Operating Office di Mitto, ha agito sfruttando una vulnerabilità nel protocollo Signaling System 7 (SS7) per le telecomunicazioni mobile e senza informare le altre persone della compagnia, offrendo questo particolare "servizio" anche ai governi interessati.

Un rappresentante di Mitto ha affermato, in riferimento alla vicenda, che l'azienda "non divulga informazioni sui suoi partner commerciali, attraverso qualsiasi canale - ufficiale o non ufficiale - stop. Generalmente, tali accordi sono di natura reciproca, con entrambe le parti che accettano di proteggere la privacy e l'integrità dell'altro". Stando alle ultime informazioni, sembra che Gorelik sia stato sollevato dal suo incarico e non faccia più parte della società.