CiberSegurança

Desculpas do Twitter por incidente de Segurança de Dados

Na terça-feira, o Twitter notificou os clientes comerciais de que suas informações pessoais, incluindo endereços de e-mail, números de telefone e os últimos quatro dígitos de seus números de cartão de crédito, podem ter sido comprometidas. No entanto, o Twitter diz que não há evidências de que isso tenha acontecido até agora.

Os anunciantes de autoatendimento que visualizaram as informações de cobrança em ads.twitter.com ou analytics.twitter.com foram afetados quando o Twitter atualizou as instruções enviadas aos caches do navegador para impedir que isso acontecesse.

O problema ocorreu antes de 20 de maio de 2020, mas o Twitter só notificou os clientes em 23 de junho.

Twitter
Twitter

Os anunciantes de autoatendimento, que são pequenas e médias empresas, foram afetados. O Twitter lançou um serviço em 2012 que permite às pequenas e médias empresas comprar e colocar anúncios em sua plataforma. Agora está disponível para clientes em mais de 200 países em todo o mundo.

Os clientes que tiverem perguntas adicionais podem escrever para o Data Protection Officer do Twitter .

Raiz do problema

Os sistemas do Twitter falharam ao enviar um cabeçalho JSON que especificava que os navegadores não deveriam armazenar em cache as informações de cobrança, e os navegadores optaram por armazenar as informações em cache, de acordo com o jornalista da BBC Alex Martin.

É provável que o cabeçalho nunca tenha sido definido, e o Twitter lançou uma alteração em 20 de maio para resolver a situação , disse Craig Tech , pesquisador de segurança de computadores da Tripwire , à TechNewsWorld.

“Este é o tipo de bug que poderia existir desde o lançamento das plataformas de publicidade e análise”, disse Chris Tech Clements, vice-presidente de arquitetura de soluções da Cerberus Sentinel , à TechNewsWorld. “Ou poderia ter sido introduzido inadvertidamente a qualquer momento desde então.”

Por que o cabeçalho JSON foi omitido não ficará claro sem o Twitter publicar sua própria análise de causa raiz, disse Clements, mas é “provavelmente devido a uma alteração de código inadvertida que não foi capturada adequadamente durante as análises de segurança, e não por uma ação maliciosa do invasor”.

A prática atual de codificação provavelmente é a causa, ele sugeriu. “O mantra de ‘agir rápido e quebrar as coisas’ que muitas empresas iniciantes adotam significa, infelizmente, que as melhores práticas de segurança para prevenir e detectar tais erros geralmente são perdidas, e são os clientes que pagam o preço”.

Por que o atraso na notificação de clientes?

Já se passou mais de um mês desde que o Twitter solucionou o problema, mas o atraso na notificação dos clientes não é motivo de preocupação , disse à TechNewsWorld James McQuiggan, advogado de conscientização de segurança da KnowBe4 .

“Com uma grande organização como o Twitter, isso acionaria suas equipes de resposta a incidentes”, disse ele. “Como envolve clientes, eles precisam trazer sua equipe jurídica, comunicações, o C-suite etc. A rapidez com que eles se comunicam com o público depende de seu Programa de Riscos Corporativos”.

Depois que o Twitter analisava os problemas, identificava a causa raiz e corrigia o vazamento, as equipes técnicas forneciam declarações de comunicação legais para revisão, mais reuniões se seguiam e as informações eram divulgadas.

“Um mês parece excessivo”, disse Clements. Ainda assim, é possível que houvesse outros fatores de confusão, como determinar quais contas de clientes podem ter sido afetadas pelo bug, e é possível que o Twitter não tenha considerado o risco potencial para os usuários como uma prioridade suficientemente alta para apressar as notificações.

O escopo do problema

“Não há limite de tempo distinto para quanto tempo os dados confidenciais podem ser armazenados no cache, a menos que tenham sido marcados com uma data de validade”, acrescentou.

Ainda assim, “a falta desse controle de segurança nunca foi uma ameaça considerável para a maioria dos usuários”, exceto para os sistemas de computação compartilhados, muitos dos quais já estão configurados para limpar o cache entre as sessões, observou Young.

Qualquer informação confidencial armazenada em cache seria limitada ao dispositivo local usado para acessar as informações, ressaltou Clements. Enquanto nenhuma outra parte tivesse acesso ao dispositivo e ele não tivesse sido invadido, os dados não teriam sido comprometidos.

Além disso, os navegadores da Web podem ser limpos ou expirar por conta própria, com base na configuração do dispositivo. Isso também pode limitar por quanto tempo os dados são armazenados localmente no cache.

Os dados confidenciais armazenados não são imediatamente perigosos por si só e, roubando, exigiriam que os invasores tivessem acesso ao dispositivo de cada cliente, o Clements. disse. “Um invasor mal-intencionado que tivesse acesso ao desenvolvimento do Twitter necessário para introduzir esse problema teria alvos muito mais atraentes para roubo e divulgação de dados”.

Vendas de anúncios do Twitter

As notícias do vazamento de dados não afetarão muito as vendas de anúncios do Twitter , disse à TechNewsWorld Ray Wang, analista principal da Constellation Research .

Em fevereiro, o Twitter registrou uma receita de publicidade de US $ 885 milhões, um aumento de 12% no comparativo anual, no quarto trimestre de 2019. O relatório Q1-2020, apresentado em abril, disse que a receita total com anúncios nesse trimestre caiu cerca de 27% em relação ao ano anterior devido à pandemia.

De modo geral, porém, a pandemia “tem sido boa para a maioria das redes sociais, pois o engajamento aumenta e o tempo gasto com elas aumenta”, disse Wang.

Domingos Massissa

Estudante de Engª Informática, editor do portal amante do mundo NERD, onde engloba cinema tecnologia e Gamers.

Artigos Relacionados

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Botão Voltar ao Topo