Un fine settimana di apprensione per gli utenti X (precedentemente noto come Twitter), scatenato da una comunicazione improvvisa che ha fatto temere il peggio: una grave violazione della sicurezza.
La piattaforma ha annunciato venerdì, con un messaggio inizialmente criptico, che gli utenti che utilizzano chiavi di sicurezza fisiche (come le Yubikey) o passkey dovranno registrarle nuovamente entro il 10 novembre, pena il blocco del proprio account.
X avverte, rischio di rimanere bloccati fuori dal proprio account
Come prassi nel settore della cybersecurity, quando una piattaforma impone una rotazione forzata delle credenziali o delle chiavi di sicurezza, il sospetto principale ricade quasi sempre su un attacco informatico. Questa procedura è tipica dei protocolli di risposta agli attacchi, attuata per estromettere eventuali aggressori dalla rete e invalidare le credenziali rubate.
La mancanza di spiegazioni immediate da parte di X Safety ha alimentato per quasi due giorni speculazioni su un possibile data breach subito dalla società di Elon Musk.
Domenica, tuttavia, è arrivata la smentita ufficiale, accompagnata dalla reale motivazione dell’intervento: non si tratta di una falla di sicurezza, ma della fase finale del rebranding da Twitter a X, che richiede l’abbandono definitivo dello storico dominio twitter.com.
“Per chiarire: questa modifica non è correlata ad alcun problema di sicurezza e riguarda solo Yubikey e passkey, non altri metodi 2FA (come le app di autenticazione)“, ha dichiarato X Safety in un post di aggiornamento. La spiegazione è puramente tecnica: “Le chiavi di sicurezza registrate come metodo 2FA sono attualmente legate al dominio twitter.com. Registrare nuovamente la tua chiave di sicurezza la assocerà a x.com, permettendoci di ritirare il dominio Twitter.“
In sostanza, le chiavi fisiche attuali, essendo crittograficamente legate al vecchio dominio, smetterebbero di funzionare nel momento in cui la piattaforma dovesse dismettere completamente twitter.com, impedendo agli utenti di autenticarsi sul nuovo dominio x.com. La re-registrazione è quindi un passaggio tecnico obbligato per prepararsi a quello che sembra essere l’imminente tramonto dello storico indirizzo web.
A placare gli animi della comunità di sicurezza è intervenuto anche Christopher Stanley, ingegnere della sicurezza presso X e SpaceX, che ha ammesso di aver sollecitato il team Safety a fornire chiarimenti dopo aver notato il panico generato dalla prima comunicazione. Rispondendo a un utente, Stanley ha spiegato la necessità di “liberarsi delle chiavi registrate su Twitter per poter smettere di usare soluzioni ‘raffazzonate’ nel dominio“.
Il futuro è senza password
Questa mossa, tuttavia, non segnala solo la fine tecnica dell’era Twitter, ma anche un impegno deciso dell’azienda verso la rivoluzione delle “passkey”. X si unisce così ai grandi colossi tecnologici come Google e Microsoft nella spinta verso un futuro passwordless.
L’industria tech sta convergendo su questo nuovo standard per superare la storica vulnerabilità delle password tradizionali, troppo spesso rubate tramite phishing, social engineering o data breach. Le passkey sostituiscono la password con un dispositivo fisico (come smartphone o laptop) che gestisce l’autenticazione in modo crittografico, rendendo gli attacchi di phishing quasi impossibili da attuare.
Sebbene le passkey rappresentino un enorme passo avanti nella sicurezza degli account, gli esperti avvertono che non sono una soluzione universale. Non risolvono, ad esempio, il problema delle vulnerabilità software e potrebbero portare i cybercriminali a intensificare altri tipi di attacchi, come i tentativi di reclutare “insider” per orchestrare attacchi ransomware dall’interno delle aziende.
