Twitter disculpas por incidentes de seguridad de datos

Twitter notificó el martes a los clientes comerciales que su información personal, incluidas las direcciones de correo electrónico, los números de teléfono y los últimos cuatro dígitos de sus números de tarjeta de crédito pueden haber sido comprometidos. Sin embargo, Twitter dice que no hay evidencia de que esto haya sucedido hasta ahora.

Los anunciantes de autoservicio que vieron la información de facturación en ads.twitter.com o analytics.twitter.com se vieron afectados cuando Twitter actualizó las instrucciones que envía a los cachés del navegador para evitar esto sucedió.

El problema ocurrió antes del 20 de mayo de 2020, pero Twitter solo notificó a los clientes al respecto el 23 de junio.

 Notificación por correo electrónico de Twitter el 23 de junio de 2020 incidente de seguridad de datos

Los anunciantes de autoservicio, que son pymes, se vieron afectados. Twitter lanzó un servicio en 2012 que permitió a las pymes comprar y colocar anuncios en su plataforma. Ahora está disponible para clientes en más de 200 países en todo el mundo.

Los clientes que tengan preguntas adicionales pueden escribir al Oficial de Protección de Datos de Twitter .

Raíz del problema

Los sistemas de Twitter no pudieron enviar un El encabezado JSON que especificó los navegadores no debería almacenar en caché la información de facturación y los navegadores no pudieron almacenar la información en caché, según el periodista de la BBC Alex Martin.

Es probable que el encabezado nunca se haya configurado, y Twitter lanzó un cambio el 20 de mayo para abordar la situación, Craig Young, un investigador de seguridad informática en Tripwire dijo a TechNewsWorld.

"Este es el tipo de error que podría haber existido desde las plataformas de publicidad y análisis "Chris Clements, vicepresidente de arquitectura de soluciones en Cerberus Sentinel dijo a TechNewsWorld. "O bien, podría haberse introducido inadvertidamente en cualquier momento desde entonces".

Por qué se omitió el encabezado JSON no estará claro sin Twitter publicando su propio análisis de causa raíz, dijo Clements, pero es "probablemente debido a un cambio de codificación inadvertido eso no fue capturado adecuadamente durante las revisiones de seguridad en lugar de una acción de ataque malintencionado ".

La práctica de codificación actual es probablemente la causa, sugirió. "El mantra de 'moverse rápido y romper cosas' que adoptan muchas nuevas empresas significa, desafortunadamente, que las mejores prácticas de seguridad para prevenir y detectar tales errores a menudo se pierden, y son los clientes los que pagan el precio".

¿Por qué la demora en notificar a los clientes?

Ha pasado más de un mes desde que Twitter solucionó el problema, pero la demora en notificar a los clientes no es motivo de preocupación, James McQuiggan, un defensor de la conciencia de seguridad en KnowBe4 dijo a TechNewsWorld.

"Con una gran organización como Twitter, esto provocaría sus equipos de respuesta a incidentes ", dijo. "Dado que involucra a los clientes, tienen que traer a su equipo legal, comunicaciones, C-suite, etc. La rapidez con la que se comunican al público depende de su Programa de Riesgos Empresariales".

Una vez que Twitter revisó los problemas, identificó la causa raíz y arregló la fuga, los equipos técnicos proporcionarían declaraciones de comunicación a los legales para su revisión, seguirían más reuniones y luego se divulgaría la información.

"Un mes parece excesivo", dijo Clements. Aún así, es posible que haya otros factores de confusión, como determinar qué cuentas de clientes pueden haber sido afectadas por el error, y es posible que Twitter no haya considerado el riesgo potencial para los usuarios como una prioridad lo suficientemente alta como para enviar notificaciones rápidamente.

El alcance del problema

"No hay un límite de tiempo definido sobre cuánto tiempo pueden almacenarse los datos confidenciales en la memoria caché a menos que se etiqueten con una fecha de vencimiento", agregó.

Aún así, "la falta de esto El control de seguridad nunca fue una amenaza considerable para la mayoría de los usuarios ", excepto para los sistemas informáticos compartidos, muchos de los cuales ya están configurados para borrar el caché entre sesiones, señaló Young.

Cualquier información confidencial que se almacena en caché se limitaría al local dispositivo utilizado para acceder a la información, señaló Clements. Mientras ninguna otra parte tenga acceso al dispositivo y no haya sido pirateado, los datos no habrían sido comprometidos.

Además, los navegadores web pueden borrarse o caducar por su cuenta según la configuración del dispositivo. Esto también podría limitar la cantidad de tiempo que los datos se almacenan localmente en la memoria caché.

Los datos confidenciales almacenados no son inmediatamente peligrosos por sí mismos y su robo requeriría que los atacantes tengan acceso al dispositivo de cada cliente, Clements. dijo. "Un atacante malicioso que obtuvo acceso al desarrollo de Twitter requerido para presentar este problema tendría objetivos mucho más atractivos para el robo y la divulgación de datos".

Ventas de anuncios de Twitter

Las noticias sobre la fuga de datos no afectarán negativamente las ventas de anuncios de Twitter, Ray Wang, analista principal de Constellation Research dijo a TechNewsWorld.

En febrero, Twitter informó anuncios Ingresos de US $ 885 millones, un aumento del 12% interanual, para el cuarto trimestre de 2019 Su informe Q1-2020, presentado en abril, dijo que los ingresos publicitarios totales para ese trimestre cayeron aproximadamente un 27 por ciento, año contra año, debido a la pandemia.

Sin embargo, en general, la pandemia "ha sido buena para la mayoría de las redes sociales a medida que el compromiso se ha ido. y el tiempo dedicado a ellos ha aumentado ", dijo Wang.


Leave a Reply

Your email address will not be published. Required fields are marked *

CLip art of Flip Day 2 CLip art of Flip Day 1 CLip art of Flip Day 1