A quanto pare GodMode, il tool che è stato usato nel 2020 per hackerare diversi account Twitter ad altissimo profilo, esiste ancora, ed è a disposizione degli sviluppatori della piattaforma. Lo dice il Washington Post, citando una fonte interna del Congresso degli Stati Uniti che ha deciso di condividere l'informazione dopo che una fonte interna l'aveva riportata lo scorso ottobre.

Per chi non se lo ricordasse, il cosiddetto "attacco" era avvenuto nel 2020. Tra gli account compromessi figuravano quelli di Apple, di Barack Obama, di Joe Biden, di Jeff Bezos, Kanye West, MrBeast, Uber, Floyd Mayweather e Cash App. Gli hacker riuscirono a far pubblicare da ognuno di questi account tweet su una truffa legata alle crypto - tutto sommato un'operazione relativamente innocente, ma il tool usato era potenzialmente molto più pericoloso. Chiamato appunto GodMode, chiaro riferimento al mondo dei videogiochi, permette a chiunque lo usi di pubblicare tweet a nome di qualsiasi account - o cancellare tweet già pubblicati in modo altrettanto universale. Questo a prescindere da eventuali sistemi di autenticazione a due fattori o altre misure di sicurezza.

All'epoca dell'incidente Twitter aveva detto di aver svolto delle indagini interne e di aver preso provvedimenti per chiudere la falla di sicurezza, senza addentrarsi troppo nei dettagli; secondo la fonte (un ex dipendente proprio di Twitter), il tool è stato semplicemente rinominato in PrivilegedMode, ed è stato rimosso l'accesso per default. Tuttavia, agli sviluppatori basta cambiare una flag da FALSE a TRUE con una singola riga di codice per ripristinare l'operatività del tool.

Più nello specifico, il codice rimane sui laptop di ogni sviluppatore che lo desidera. Una volta cambiata la flag, basterebbe eseguire il software da un computer facilmente accessibile da remoto via SSH, per esempio. Quel che è peggio, non viene creato un registro di questo tipo di attività, e più in generale il team dedicato alla sicurezza non ha modo di sapere chi ha attivato la PrivilegedMode, quando e perché.

A quanto pare, lo scopo iniziale del programma era di permettere ai dipendenti di Twitter di pubblicare contenuti a nome degli inserzionisti in caso questi non fossero in grado per qualsiasi ragione di procedere in autonomia. Al momento Twitter, che non ha più un team dedicato alle pubbliche relazioni, non ha risposto alle accuse.