Ícono del sitio La Neta Neta

La investigación de hackeo de Twitter lleva a pedir reglas de ciberseguridad para los gigantes de las redes sociales

Twitter lanza la función Spaces Recording para probadores en iOS, lanzamiento global para seguir

Una investigación sobre el hackeo de Twitter de este verano por parte del Departamento de Servicios Financieros del Estado de Nueva York (NYSDFS) ha terminado con una dura reprimenda por la facilidad con la que Twitter se dejó engañar por una técnica “simple” de ingeniería social, y con un llamado más amplio a las redes sociales clave. plataformas de medios que se regulen en materia de seguridad.

En el reporte, el NYSDFS apunta, a modo de ejemplo contrastante, a la rapidez con la que las empresas de criptomonedas reguladas actuaron para evitar que los piratas informáticos de Twitter estafaran a más personas, argumentando que esto demuestra que la innovación tecnológica y la regulación no son mutuamente excluyentes.

Su punto es que las plataformas de redes sociales más grandes tienen un enorme poder social (con todos los riesgos asociados para el consumidor) pero no tienen responsabilidades reguladas para proteger a los usuarios.

El informe concluye que este es un problema que los legisladores de EE. UU. Deben abordar y abordar las estadísticas, recomendando que se establezca un consejo de supervisión (para “designar compañías de redes sociales de importancia sistémica”) y un regulador “apropiado” designado para “monitorear y supervisar” la seguridad prácticas de las principales plataformas de redes sociales.

“Las empresas de redes sociales se han convertido en un medio de comunicación indispensable: más de la mitad de los estadounidenses utilizan las redes sociales para recibir noticias y conectarse con colegas, familiares y amigos. Esta evolución requiere un régimen regulatorio que refleje las redes sociales como infraestructura crítica ”, escribe el NYSDFS, antes de continuar señalando que todavía“ no existe un regulador estatal o federal dedicado que esté facultado para garantizar prácticas adecuadas de ciberseguridad para prevenir el fraude, la desinformación y otros amenazas sistémicas a los gigantes de las redes sociales ”.

“El Twitter Hack demuestra, más que nada, el riesgo para la sociedad cuando se deja que las instituciones de importancia sistémica se regulen por sí mismas”, agrega. “Proteger las redes sociales de importancia sistémica contra el uso indebido es crucial para todos nosotros: consumidores, votantes, gobierno e industria. El momento de la acción del gobierno es ahora ”.

Nos comunicamos con Twitter para comentar sobre el informe.

Entre los hallazgos clave de la investigación del Departamento se encuentran que los piratas informáticos irrumpieron en los sistemas de Twitter llamando a los empleados y afirmando ser del departamento de TI de Twitter, a través de cuyo método simple de ingeniería social pudieron engañar a cuatro empleados para que entregaran sus credenciales de inicio de sesión. Desde allí, pudieron acceder a las cuentas de Twitter de políticos, celebridades y empresarios de alto perfil, incluidos Barack Obama, Kim Kardashian West, Jeff Bezos, Elon Musk y varias empresas de criptomonedas, utilizando las cuentas secuestradas para tuitear una criptomoneda. estafa a millones de usuarios.

Twitter ha confirmado previamente que se utilizó un ataque de “phishing telefónico” para obtener credenciales.

Según el informe, los mensajes fraudulentos de los piratas informáticos “dupliquen sus bitcoins”, que contenían enlaces para realizar un pago en bitcoins, les permitieron robar más de 118.000 dólares en bitcoins de los usuarios de Twitter.

Aunque se impidió el robo de una suma considerablemente mayor como resultado de la rápida acción tomada por las empresas de cifrado reguladas, a saber: Coinbase, Square, Gemini Trust Company y Bitstamp, quienes, según el Departamento, bloquearon decenas de intentos de transferencia por parte de los estafadores.

“Esta rápida acción bloqueó más de 6.000 intentos de transferencias por valor de aproximadamente $ 1,5 millones a las direcciones bitcoin de los hackers”, señala el informe.

También se critica a Twitter por no tener un jefe de ciberseguridad en el cargo en el momento del ataque, después de no poder reemplazar a Mike Convertino, quien se fue en diciembre de 2019 para unirse a la firma de ciberresiliencia Arceo.

El mes pasado anunció que Rinki Sethi había sido contratado como CISO.

“A pesar de ser una plataforma global de redes sociales con más de 330 millones de usuarios promedio mensuales en 2019, Twitter carecía de una protección adecuada de ciberseguridad”, escribe el NYSDFS. “En el momento del ataque, Twitter no tenía un director de seguridad de la información, controles de acceso y administración de identidad adecuados, y monitoreo de seguridad adecuado, algunas de las medidas básicas requeridas por la primera regulación de ciberseguridad del Departamento en la nación”.

La ley de protección de datos de la Unión Europea ya incluye requisitos de seguridad como parte de un marco integral de privacidad y seguridad (con posibles sanciones importantes por violaciones de seguridad). Sin embargo, una investigación realizada por el DPC irlandés de un incidente de seguridad de Twitter en 2018 aún no ha concluido después de que un proyecto de decisión no obtuvo el respaldo de los otros organismos de control de datos de la UE en agosto, lo que provocó un retraso adicional en el proceso regulatorio paneuropeo.

Esta historia se actualizó con una corrección: Twitter no había reemplazado a Mike Convertino como CISO en lugar de Michael Coates, quien también estaba en la publicación, pero dejó Twitter en marzo de 2019, en lugar de en marzo de 2020 como dijimos originalmente.


Source link
Salir de la versión móvil