Vogliamo informarti di una vulnerabilità che ha consentito a qualcuno di inserire un numero di telefono o un indirizzo email nella procedura di accesso per tentare di scoprire se tali dati erano legati a un account Twitter esistente e, nel caso, a quale account. Prendiamo molto sul serio la responsabilità di proteggere la privacy dei nostri utenti e siamo dispiaciuti di quanto è accaduto. Non devi intraprendere alcuna azione specifica al riguardo. Desideriamo soltanto che tu sappia che cosa è successo, quali misure abbiamo adottato e quali sono le best practice consigliate per mantenere il tuo account al sicuro.

Cosa è successo

A gennaio 2022, tramite il nostro programma Bug Bounty, abbiamo ricevuto la segnalazione di una vulnerabilità nei sistemi di Twitter. Per effetto di tale vulnerabilità, indicando un indirizzo email o un numero di telefono ai sistemi di Twitter, una persona poteva scoprire a quale account Twitter questo indirizzo email o numero di telefono era eventualmente associato. Questo bug è apparso in seguito a un aggiornamento del nostro codice effettuato nel giugno 2021. Appena lo abbiamo saputo, ci siamo subito attivati per approfondire e risolvere il problema. In quel momento, nulla faceva pensare che qualcuno avesse approfittato della vulnerabilità. 

A luglio 2022, abbiamo appreso una notizia d'agenzia che qualcuno era riuscito a sfruttare la vulnerabilità e stava mettendo in vendita le informazioni raccolte. Dopo aver esaminato un campione dei dati messi in vendita, abbiamo confermato che un malintenzionato aveva approfittato del problema prima che venisse risolto.

Avviseremo direttamente i titolari degli account che risultano interessati da questo problema. Pubblichiamo questo aggiornamento perché non ci è stato possibile individuare con certezza tutti gli account potenzialmente coinvolti e perché le persone che usano un account sotto pseudonimo, in particolare, potrebbero essere prese di mira da Stati o altri soggetti.

Come proteggere il tuo account

Se usi un account Twitter sotto pseudonimo, siamo consapevoli dei rischi che un incidente come questo può comportare e siamo profondamente dispiaciuti per l'accaduto. Per preservare il più possibile la tua identità, ti consigliamo di non aggiungere al tuo account Twitter un numero di telefono o indirizzo email di dominio pubblico.

Anche se le password non sono state violate, consigliamo a chiunque usi Twitter di proteggere il suo account da accessi non autorizzati attivando l'autenticazione a due fattori tramite app di autenticazione o token di sicurezza hardware. Se la sicurezza del tuo account ti preoccupa o hai domande su come proteggiamo le tue informazioni personali, puoi contattare il nostro Ufficio per la protezione dei dati tramite questo modulo. 

Per sapere come segnalare vulnerabilità di sicurezza, visita il nostro Centro assistenza. Se vuoi scoprire di più sulle nostre iniziative per la protezione di Twitter da attività sostenute da Stati e manipolazione della piattaforma, consulta il Report di Twitter sulla trasparenza.