In seguito a questo importante leak che, anche se non include le password, è comunque un incidente critico anche per le PA italiane (quanti sono gli accunt attivati con e-mail istituzionale?), avete pensato di mandare una qualche circolare ai colleghi/personale del Vostro Ente?
Come Responsabile della Cybersecurity per l’Ateneo dove lavoro, se può esservi di aiuto, ho inviato a tutti questa mail:
Twitter Leak – I dati personali di oltre 200 milioni di account pubblicati in Rete
In questi primi giorni del nuovo anno è stato pubblicato in Rete un enorme archivio di dati personali relativi a oltre 200 milioni di account Twitter, estratti dalla piattaforma social in modo fraudolento (attraverso una azione di scraping) durante l’anno 2021.
Nell’archivio sono presenti indirizzo mail usato per l’iscrizione, il nome utente, lo pseudonimo, il numero dei follower e la data di creazione dell’account.
Gli account di Twitter attivati antecendente al 2021 sono quasi sicuramente nell’archivio, esponendo gli utenti a potenziali ripercussioni per le quali è necessario avere consapevolezza.
Per verificare se un certo account è stato violato, è possibile usare il portale HaveIBeenPwned (https://haveibeenpwned.com) dove, inserendo il proprio indirizzo mail, si ottiene in risposta i vari “leak” dove tale indirizzo è presente, tra cui potrebbe esserci Twitter.
Per proteggere il proprio account Twitter è fortemente consigliata l’attivazione dell’autenticazione a due fattori (su Twitter, dal menù Impostazioni->Sicurezza – https://twitter.com/settings/security): questo impedisce ad un eventuale malintenzionato di accedere al Vostro profilo dopo averne scoperto la password.
In particolare, coloro che hanno attivato un account Twitter usando l’indirizzo mail istituzionale dovrebbero procedere all’attivazione dell’autenticazione a due fattori e cambio della password nel più breve tempo possibile.
E’ importante ricordarsi di non utilizzare mail la medesima password per più account, preferendo l’uso di password generate casualmente e un password manager.
Si invita anche a mantenere separata l’attività lavorativa/istituzionale da quella personale/privata, evitando l’attivazione di servizi online ad uso personale usando l’indirizzo mail di Ateneo.