Reindirizzamento da Twitter a X: rischio phishing. Ecco cos'è successo

Quando Elon Musk ha deciso di acquistare Twitter, ha pensato subito di rinominare la piattaforma in X. Nel 1999, infatti, l’imprenditore sudafricano con cittadinanza canadese naturalizzato statunitense, aveva fondato X.com, un sito di servizi bancari che è poi diventata la base per la nascita di PayPal. Il simbolo X è utilizzato anche da SpaceX, la società aerospaziale fondata da Musk, e in xAi, una nuova azienda che sviluppa soluzioni di intelligenza artificiale.

Il simbolo X è quindi per Musk importante perché racchiude l’idea di un progetto omnicomprensivo, una piattaforma interattiva che include supporto audio, video, messaggistica, pagamenti e altre funzionalità. Il cambio di nome di Twitter fa parte di un piano più ampio per trasformare il social network in una soluzione più completa, capace di spingersi ben oltre le funzionalità che tutti noi conosciamo.

Reindirizzamento da Twitter a X: l’azienda scivola su una buccia di banana

Oggi, digitando x.com nella barra degli indirizzi del browser Web si viene automaticamente reindirizzati a Twitter. Un paio di giorni fa, tuttavia, i sistemisti di X Corporation, fondata nel 2023 e proprietaria di Twitter, hanno commesso un gravissimo errore. Una svista che sembra da principianti e che avrebbe potuto aprire le porte ad efficaci attività di phishing. Il motivo è presto detto.

Twitter aveva attivato il reindirizzamento a X all’interno dei post: in pratica, digitando un URL twitter.com, il browser dell’utente veniva reinviato al “nuovo” nome di dominio x.com.

All’apparenza, tutto bene, no? Soltanto apparentemente perché in molti si sono subito accorti di un madornale errore commesso dagli amministratori. Per qualunque nome di dominio che finiva con twitter.com, tale stringa era sostituita con x.com. Si pensi, ad esempio, al dominio fedetwitter[.]com: la regola imposta lato server da X Corporation, trasformava tale dominio in fedex.com (in questo caso corrispondente alla nota società di trasporto specializzata in spedizioni espresse).

Un malintenzionato poteva così creare post convincenti su X, contando sul fatto che il nome di dominio “esca” (contenente il suffisso twitter.com) era automaticamente convertito in sostituendo tale parte dell’URL con x.com.

Problema corretto ma… che svista!

L’errore commesso dai tecnici di X aveva il potenziale di deviare il traffico da siti e brand legittimi, di fatto favorendo il proliferare di attività truffaldine online.

Per via delle sue serie implicazioni, l’incidente ha suscitato grande scalpore con l’azienda di Elon Musk che è subito intervenuta per porre rimedio al problema. Tanti nomi di dominio sono stati nel frattempo registrati a scopo difensivo oppure per dimostrare il potenziale del problema introdotto da X.

Si pensi ad esempio al dominio netflitwitter.com, registrato per prevenire eventuali abusi rispetto alle proprietà e ai servizi della nota piattaforma di streaming Netflix.

A valle di quanto accaduto, è facile ipotizzare che i tecnici di X abbiamo utilizzato in malo modo le regular expression consentendo reindirizzamenti indesiderati all’interno dei post pubblicati sul social network.