Filtración de datos en Twitter: un silencio que puede salir caro

Desde que Elon Musk compró Twitter a fines de octubre, la compañía ha seguido sufriendo interrupciones y generando controversia, ya sea por despidos masivos de empleados y renuncias o daños a la reputación debido a los tuits imprudentes y, a menudo, extraños del multimillonario. Ahora, la creciente preocupación por una posible filtración de datos como resultado de una configuración predeterminada de Twitter ahora parcheada está a punto de arrastrar a la empresa a menos que Twitter tome medidas rápidas.

Mientras los reguladores europeos comienzan a investigar lo que parece ser una violación masiva de datos de Twitter, la red social y su CEO no han hecho ningún comentario público sobre el verdadero alcance del incidente. Los expertos dicen que si Twitter no toma la iniciativa, informa a los reguladores los hechos y les dice a los usuarios cuánta información pública y privada ha sido expuesta, la empresa podría sufrir graves consecuencias financieras. y operativo.

Volver a la línea de tiempo de los eventos

Al igual que las plataformas web oscuras, el marco que rodea la violación de datos de Twitter es turbio. La pesadilla comenzó en julio cuando un actor conocido como "El Diablo" puso a la venta, en un foro de datos pirateados, una base de datos de números de teléfono y direcciones de correo electrónico pertenecientes a 5,4 millones de cuentas de Twitter. Devil exigió un pago de $ 30,000 por estos datos y afirmó haberlos robado a través de una vulnerabilidad revelada a Twitter el 1 de enero de 2022. La empresa reparó la falla el 13 de enero de 2022. Afectó a los usuarios de Android y concedió a cualquier persona, sin autenticación, para obtener una ID de Twitter para cualquier usuario enviando un número de teléfono o una dirección de correo electrónico, incluso si el usuario prohibió esta acción en la configuración de privacidad. Aproximadamente un mes después del lanzamiento de Devil, Twitter confirmado que un actor malicioso se había aprovechado de la vulnerabilidad y dijo que enviaría avisos a los propietarios de cuentas afectados por la violación.

Los datos que contienen los datos de los 5,4 millones de usuarios se publicaron de forma gratuita el 27 de noviembre de 2022. Sin embargo, en noviembre también circulaba de forma privada otra base de datos que supuestamente contenía detalles de 17 millones de usuarios. Luego, a fines de diciembre, Alon Gal, cofundador y director técnico de la firma de inteligencia de cibercrimen israelí Hudson Rock, vio una publicación en un foro criminal sobre violaciones de datos de un usuario llamado "Ryushi" que ofrecía vender los correos electrónicos. -correos electrónicos y números de teléfono de 400 millones de usuarios de Twitter. Después del procesamiento, Alon Gal dijo que la cifra original de 400 millones de usuarios incluía duplicados. Sin embargo, la brecha sigue siendo una de las "más grandes" que jamás haya visto.

Troy Hunt, que dirige el sitio de informes de violación de datos HaveIBeenPwned, dice que tiene encontró 211,5 millones de direcciones de correo electrónico únicas en la base de datos filtrada. Otro actor de amenazas puede haber publicado un conjunto de datos de 200 millones de perfiles de Twitter en el foro de piratería de Breached por ocho créditos de la moneda del foro, con un valor de alrededor de $ 2.

Los piratas informáticos se apoderan de las cuentas de Twitter de celebridades y figuras públicas

Durante las festividades de Año Nuevo y poco después del Año Nuevo, las cuentas de Twitter de celebridades de alto perfil en el Reino Unido, India y Australia fueron pirateadas. Entre los perfiles pirateados se encuentran los del comentarista de televisión Piers Morgan, la secretaria de Educación del Reino Unido, Gillian Keegan, el secretario de Irlanda del Norte, Chris Heaton-Harris, el cantante Ed Sheeran y la estrella de la televisión india Salman Khan.

Si bien estos trucos pueden no tener nada que ver con los archivos de muestra que publicó Ryushi, Alon Gal cree que están relacionados. "Probablemente no sea una coincidencia: la divulgación de la dirección de correo electrónico puede haber sido justo lo que el pirata informático necesitaba para encontrar contraseñas para la cuenta o para hacer ingeniería social a su manera", dijo Alon Gal en un tuit.

Los expertos dicen que Twitter necesita arrojar algo de luz sobre el caso

A medida que continúan acumulándose informes contradictorios sobre la intrusión en Twitter, los expertos en seguridad cibernética piden a Musk que aclare la confusión. Brian Krebs, periodista de ciberseguridad, dijo en un tuit "Hola, @elonmusk, ya que parece que ya no tienes un equipo de medios/comunicaciones, ¿puedes responder a la afirmación aparentemente legítima de que alguien ha recolectado y ahora está vendiendo datos de cientos de millones de cuentas de Twitter? Tal vez no lo hizo. No sucederá en tu turno, pero le debes una respuesta a Twitter". Alon Gal dijo: “Twitter no reconoció esta violación, y es una pena. Deben reconocerlo lo antes posible, para que los usuarios estén alertados sobre los riesgos que ahora enfrentan. Insto a los usuarios de Twitter a que cambien sus contraseñas y tengan cuidado con los intentos de phishing, y pido a Twitter que reconozca esta infracción lo antes posible".

Douglas J. McNamara, socio del departamento de protección al consumidor de Cohen Milstein, le dice a la OSC que asume que Twitter "se comprometió y analizó algunos de estos problemas". Pero es posible que no lo hagan públicamente y que no quieran compartirlo con todos”. Pero cuando se trata de la ley en los Estados Unidos, "es un poco borroso", dice Douglas J. McNamara, dadas las diferencias en las leyes estatales sobre las notificaciones de incumplimiento. “Tendríamos que ver quién está adentro, cuáles son los PII [informations personnelles identifiables]. ¿Es este el tipo de DPI que generaría una obligación de informar? [en vertu de l'analyse typique du risque de préjudice exigée par les lois étatiques sur la notification des violations de données] ? »

Además, en este punto, "no está muy claro si se trata de dos violaciones diferentes, o si alguien usó scripts para extraer esta información y agregarla a lo que ya existía mezclándola o si alguien compró cosas diferentes de la web oscura y puso ellos juntos. Simplemente no está claro ", dice Douglas J. McNamara. "Decir que está borroso es quedarse corto". Pero agrega que, desde una perspectiva de buen gobierno corporativo, Twitter estaría en una mejor posición si fuera transparente ". Si me preocuparan mis clientes, lo primero que haría sería verificar si es legítimo o no, y luego aliviar sus preocupaciones". No importa que la violación de datos sea anterior al mandato de Musk como propietario de Twitter, todavía necesita para tratarlo con responsabilidad."Él compró la empresa. Compró la responsabilidad", agrega.

Reguladores europeos en cubierta

Incluso si Twitter se consolara con el hecho de que la violación de datos actualmente es esquiva según las leyes estatales de EE. UU., las regulaciones europeas podrían causarle el mayor daño. Las CNIL europeas tienen una gama más amplia de factores para analizar para determinar si Twitter debe asumir la responsabilidad por la violación y en qué medida. El 23 de diciembre de 2022, incluso antes de que se supiera que los datos de cientos de millones de usuarios de Twitter podrían haber estado expuestos, la Comisión de Protección de Datos de Irlanda (DPC) inició una investigación sobre el incidente inicial que involucró a 5,4 millones de usuarios de Twitter. El DPC dijo que Twitter proporcionó varias respuestas a sus preguntas y cree que la empresa puede haber pasado por alto una o más disposiciones del Reglamento General de Protección de Datos (RGPD) de la UE.

Amy Worley, directora general y consejera general asociada de Berkeley Research, le dice a CSO que “GDPR tiene requisitos de notificación de violación de datos muy estrictos. También tiene una definición muy amplia de lo que es una violación de datos. Por lo tanto, es mucho más extenso que lo que existe en la mayoría de las leyes estadounidenses”. Amy Worley aclara que “el RGPD no se limita a los daños económicos según lo interpretan las leyes estadounidenses. Así, la privacidad es un derecho fundamental en la UE, y está vinculado a los derechos y libertades de los interesados”. Según las normas europeas de protección de datos, las empresas tienen 72 horas para notificar una violación de datos y deben informar cambios significativos en sus evaluaciones de la cantidad de usuarios afectados. “Si creen que una empresa simplemente está ignorando o incumpliendo la ley, es probable que la empresa tenga problemas por eso”, dice Amy Worley. Las multas del RGPD pueden alcanzar hasta el 4 % de la facturación mundial de una empresa, aunque este nivel de multa es raro.

"No se trata solo de daños económicos"

Lo que quizás debería preocupar aún más a Twitter es que la Unión Europea podría obligarlo a cesar efectivamente sus operaciones en Europa si surge evidencia de una violación grave. “La UE también puede revocar su capacidad para procesar datos de residentes europeos”, continúa Amy Worley, y agrega: “También tienen la capacidad de detener las transferencias internacionales de datos a través de Internet. Y [l’UE] tiene la capacidad de decir: "No está autorizado para procesar los datos personales de los residentes europeos".

Su consejo para Twitter o cualquier organización en circunstancias similares es: “Comprenda lo que sucedió lo más rápido posible. Entonces, realmente preste atención a este análisis. ¿Es razonablemente probable que esto tenga un impacto en los derechos y libertades del interesado? Comprenda la forma completa en que la UE interpreta esto. No es solo un daño económico".