“Twitter aparentemente ha descuidado la seguridad durante mucho tiempo y, con todos los cambios, existe un riesgo seguro”, dice David Kennedy, director ejecutivo de la firma de respuesta a incidentes TrustedSec, quien anteriormente trabajó en la NSA y con el Cuerpo de Marines de los Estados Unidos. unidad de inteligencia de señales. “Hay mucho trabajo por hacer para estabilizar y asegurar la plataforma, y definitivamente existe un riesgo elevado desde una perspectiva interna maliciosa debido a todos los cambios que ocurren. A medida que pasa el tiempo, la probabilidad de un incidente disminuye, pero los riesgos de seguridad y la deuda tecnológica siguen ahí”.
Una violación de Twitter podría exponer a la empresa o a los usuarios de innumerables maneras. De particular preocupación sería un incidente que ponga en peligro a los usuarios que son activistas, disidentes o periodistas bajo un régimen represivo. Con más de 230 millones de usuarios, una violación de Twitter también tendría consecuencias potenciales de gran alcance para el robo de identidad, el acoso y otros daños. Y desde la perspectiva de la inteligencia del gobierno, los datos ya han demostrado ser lo suficientemente valiosos a lo largo de los años como para motivar a los espías del gobierno a infiltrarse en la empresa, una amenaza que Zatko dijo que Twitter no estaba preparado para contrarrestar.
La compañía ya estaba bajo el escrutinio de la Comisión Federal de Comercio de EE. UU. por prácticas pasadas, y el jueves, siete senadores demócratas pidieron a la FTC que investigue si los «cambios informados en revisiones internas y prácticas de seguridad de datos» en Twitter violaron los términos de un acuerdo de 2011. entre Twitter y la FTC por el mal manejo de datos en el pasado.
Si ocurriera una infracción, los detalles, por supuesto, dictarían las consecuencias para los usuarios, Twitter y Musk. Pero el multimillonario franco puede querer señalar que, a fines de octubre, la FTC emitió una orden contra el servicio de pedidos en línea Drizly y sanciones personales contra su director ejecutivo, James Cory Rellas, luego de que la compañía expusiera los datos personales de aproximadamente 2.5 millones de usuarios. . La orden requiere que la empresa tenga políticas más estrictas sobre la eliminación de datos y para minimizar la recopilación y retención de datos, al tiempo que exige lo mismo de Cory Rellas en cualquier empresa futura para la que trabaje.
Hablando ampliamente sobre el panorama actual de amenazas a la seguridad digital en la Cumbre Cibernética de Aspen en la ciudad de Nueva York el miércoles, Rob Silvers, subsecretario de política del Departamento de Seguridad Nacional, instó a las empresas y otras organizaciones a la vigilancia. “Yo no sería demasiado complaciente. Vemos suficientes intentos de intrusión e intrusiones exitosas todos los días que no bajamos la guardia ni un poco”, dijo. “La defensa importa, la resiliencia importa en este espacio”.
Dan Tentler, fundador de la firma de remediación y simulación de ataques Phobos Group que trabajó en la seguridad de Twitter de 2011 a 2012, señala que si bien el caos actual y la falta de personal dentro de la empresa crean riesgos potenciales apremiantes, también podrían plantear desafíos para los atacantes que podrían tienen dificultades en este momento mapeando la organización para apuntar a los empleados que probablemente tengan acceso o control estratégico dentro de la empresa. Agrega, sin embargo, que hay mucho en juego debido a la escala y el alcance de Twitter en todo el mundo.
“Si quedan personas con información privilegiada dentro de Twitter o alguien viola Twitter, probablemente no haya mucho que se interponga en su camino para hacer lo que quieran: tiene un entorno en el que puede que no queden muchos defensores”, dice.