Twitter, la famosa piattaforma di microblogging, ha recentemente informato i suoi utenti riguardo a un episodio di violazione della privacy relativo all’utilizzo della loro email e numero di telefono per scopi commerciali.
L’azienda si è scusata ed ha assicurato che l’invio è avvenuto involontariamente e che nessun dato personale degli utenti è stato trasferito a terzi. Pur non fornendo ulteriori informazioni sulle cause, ha voluto comunque tranquillizzare i propri utenti, affermando inoltre che tale problematica è stata risolta.
Un esempio, limpido, di trasparenza (scusate il gioco di parole).
Entrando più nel merito, la violazione in sé riguarda il fatto che quei numeri/email siano stati forniti dagli utenti per il solo scopo di abilitare una funzionalità aggiuntiva di sicurezza nelle fasi di accesso, chiamata autenticazione a due fattori.
In questo scenario, quando l’utente effettua un accesso (ad esempio utilizzando username e password), è tenuto subito dopo a dimostrare la sua identità tramite l’inserimento di un ulteriore codice (token), inviato sulla email o sul telefono dell’utente.
Come altri colossi di internet, Twitter è una delle aziende dotate non solo di un sistema di autenticazione a due fattori basato sugli SMS, ma anche la più sicura autenticazione mediante token con app esterne, come ad esempio Google Authenticator.
Personalmente il mio account Twitter non è stato coinvolto in questo episodio, ma resta comunque sempre molto acceso il dibattito tra aziende, media e utenti sui vari sistemi di autenticazione (password, dati biometrici, captcha, vpn, ecc…), che magari affronterò in un articolo ad-hoc.
