Una investigación sobre el hackeo de Twitter de este verano por parte del Departamento de Servicios Financieros del Estado de Nueva York (NYSDFS) ha terminado con una dura reprimenda por la facilidad con la que Twitter se dejó engañar por una técnica “simple” de ingeniería social, y con un llamado más amplio a redes sociales clave. las plataformas de medios a ser reguladas en seguridad.
En el informe, el NYSDFS señala, a modo de ejemplo contrastante, la rapidez regulado Las empresas de criptomonedas actuaron para evitar que los piratas informáticos de Twitter estafaran a más personas, argumentando que esto demuestra que la innovación tecnológica y la regulación no se excluyen mutuamente.
Su punto es que las plataformas de redes sociales más grandes tienen un enorme poder social (con todo el riesgo del consumidor asociado) pero no tienen responsabilidades reguladas para proteger a los usuarios.
El informe concluye que este es un problema que los legisladores de EE. UU. Deben abordar y abordar las estadísticas, recomendando que se establezca un consejo de supervisión (para “designar compañías de redes sociales de importancia sistémica”) y un regulador “apropiado” designado para “monitorear y supervisar” la seguridad prácticas de las principales plataformas de redes sociales.
“Las empresas de redes sociales se han convertido en un medio de comunicación indispensable: más de la mitad de los estadounidenses utilizan las redes sociales para recibir noticias y conectarse con colegas, familiares y amigos. Esta evolución requiere un régimen regulatorio que refleje las redes sociales como infraestructura crítica ”, escribe el NYSDFS, antes de continuar señalando que todavía“ no existe un regulador estatal o federal dedicado que esté facultado para garantizar prácticas adecuadas de ciberseguridad para prevenir el fraude, la desinformación y otros amenazas sistémicas a los gigantes de las redes sociales ”.
“El Twitter Hack demuestra, más que nada, el riesgo para la sociedad cuando se deja que las instituciones de importancia sistémica se regulen por sí mismas”, agrega. “Proteger las redes sociales de importancia sistémica contra el uso indebido es crucial para todos nosotros: consumidores, votantes, gobierno e industria. El momento de la acción del gobierno es ahora “.
Nos comunicamos con Twitter para comentar sobre el informe.
Entre los hallazgos clave de la investigación del Departamento se encuentran que los piratas informáticos irrumpieron en los sistemas de Twitter llamando a los empleados y afirmando ser del departamento de TI de Twitter, a través de cuyo método simple de ingeniería social pudieron engañar a cuatro empleados para que entregaran sus credenciales de inicio de sesión. Desde allí, pudieron acceder a las cuentas de Twitter de políticos, celebridades y emprendedores de alto perfil, incluidos Barack Obama, Kim Kardashian West, Jeff Bezos, Elon Musk y varias empresas de criptomonedas, utilizando las cuentas secuestradas para tuitear una criptomoneda. estafa a millones de usuarios.
Twitter ha confirmado previamente que se utilizó un ataque de “phishing telefónico” para obtener credenciales.
Según el informe, los mensajes fraudulentos de los piratas informáticos “dupliquen su bitcoin”, que contenían enlaces para realizar un pago en bitcoins, les permitieron robar más de 118.000 dólares en bitcoins de los usuarios de Twitter.
Aunque se impidió el robo de una suma considerablemente mayor como resultado de la rápida acción tomada por las empresas de cifrado reguladas, a saber: Coinbase, Square, Gemini Trust Company y Bitstamp, quienes, según el Departamento, bloquearon decenas de intentos de transferencia por parte de los estafadores.
“Esta rápida acción bloqueó más de 6.000 intentos de transferencias por un valor aproximado de 1,5 millones de dólares a las direcciones de bitcoins de los hackers”, señala el informe.
También se critica a Twitter por no tener un jefe de ciberseguridad en el puesto en el momento del ataque, después de no poder reemplazar a Michael Coates, quien se fue en marzo. (El mes pasado anunció que Rinki Sethi había sido contratado como CISO).
“A pesar de ser una plataforma global de redes sociales con más de 330 millones de usuarios promedio mensuales en 2019, Twitter carecía de una protección adecuada de ciberseguridad”, escribe NYSDFS. “En el momento del ataque, Twitter no contaba con un director de seguridad de la información, controles de acceso y administración de identidad adecuados, y monitoreo de seguridad adecuado, algunas de las medidas básicas requeridas por la primera regulación de ciberseguridad del Departamento en la nación”.
La ley de protección de datos de la Unión Europea ya incluye requisitos de seguridad como parte de un marco integral de privacidad y seguridad (con posibles sanciones importantes por violaciones de seguridad). Sin embargo, una investigación del DPC irlandés de un incidente de seguridad de Twitter de 2018 aún no ha concluido después de que un borrador de decisión no logró obtener el respaldo de los otros organismos de control de datos de la UE en agosto, lo que provocó un retraso adicional en el proceso de reglamentación paneuropea.
Source link