O Twitter de Elon Musk é seguro e você deve parar de usá-lo?

A chegada de Elon Musk à sede do Twitter em 26 de outubro de 2022, portando uma bacia sem dúvida adquirida às pressas para implantar a serviço do que só pode ser descrito como uma piada de pai , provocou mudanças sísmicas no mundo das mídias sociais.

Twitter, uma das plataformas sociais mais antigas, tem sido um marco de engajamento online para milhões de pessoas e organizações por mais de uma década, mas de repente enfrenta um futuro muito diferente – e algumas das maiores mudanças estão no campo da segurança cibernética. decisões do momento que muitas vezes o colocaram em maus lençóis – os fãs diriam que ele tipifica o antigo lema do colega barão da mídia social Mark Zuckerberg “mova-se rápido e quebre as coisas” – e, até o momento, ele trouxe essa atitude para o Twitter, demitindo funcionários a torto e a direito e fazendo mudanças radicais antes de revertê-los abruptamente.

Continua após a publicidade..

Entre alguns dos incidentes mais importantes que aconteceram ao Twitter na última quinzena, estão as saídas repentinas de seu diretor de segurança da informação (CISO), diretor de privacidade e diretor de proteção de dados e diretor de conformidade; mudanças em seu sistema de verificação de marca azul que resultaram em uma onda de falsificação de identidade de contas de alto perfil; e, no início desta semana, mudanças nos microsserviços usados no Twitter – supostamente a mando pessoal de Musk – que parecem ter causado falhas nos processos de autenticação multifator SMS da plataforma.

No momento da redação deste artigo, não houve nenhum grande incidente cibernético ou violação de dados afetando os usuários da plataforma. No entanto, há uma percepção crescente de que a rescisão abrupta de milhares de funcionários do Twitter por Musk está causando desgaste na plataforma à medida que vários pequenos problemas técnicos começam a se acumular .

Além disso, já existem sinais claros de que o estilo de gestão de Musk está começando a introduzir níveis intoleráveis de risco para os usuários organizacionais, não menos do ponto de vista da gestão da marca. A gigante do setor de publicidade Omnicom Media já aconselhou seus clientes a interromper seus gastos com o Twitter , enquanto os EUA Securities and Exchange Commission (SEC), a

Federal Trade Commission (FTC), estão monitorando a situação de perto, assim como o Information Commissioner’s Office (ICO) do Reino Unido.

Um porta-voz da ICO disse à Computer Weekly: “Compliance with UK a lei de proteção de dados deve ser uma alta prioridade para todas as empresas, independentemente de seu tamanho ou estatura. Continuaremos monitorando a situação com o Twitter à medida que ela evolui e incentivamos qualquer pessoa com preocupações a denunciá-las a nós. ”

Portanto, à luz dos problemas em andamento no Twitter, parece que o momento certo para considerar se a plataforma continua sendo um local seguro para usuários corporativos e o que as organizações podem fazer para se proteger caso a escala do risco potencial aumente. Resumindo, você deveria estar reprimindo o Twitter?

Confiar? Se foi

“Muito se tem falado sobre a segurança psicológica do uso do Twitter, tanto antes do atual colapso dos controles de moderação e ética quanto depois”, diz Rachael Greaves, CEO e fundador da Castlepoint Systems, um provedor australiano de serviços de governança de informações e gerenciamento de riscos.

“A cultura da empresa sempre se debruçou precariamente sobre o abismo do risco, esforçando-se por alcançar os altos frutos da saturação do mercado e da monetização, com uma cultura que parecia tornar-se mais tolerante com potenciais e reais danos aos seus usuários ao longo do tempo.”

Certamente, a confiança que os usuários têm no Twitter foi seriamente danificada e, embora ainda não seja irreparável, a confiança, uma vez quebrada, pode levar anos para ser consertada e irá ser menos resiliente no fut ure.

“Acho que a confiança parece estar diminuindo rapidamente”, diz Jake Moore, consultor global de segurança cibernética da ESET. “A confiança tem sido tão fortemente destacada no núcleo do Twitter na última década.

Esse carrapato azul é muito difícil de conseguir….Você não pode oferecer um carrapato azul como esse para todos. Isso dilui o que significa verificação
Jake Moore, ESET

“As pessoas o usam para corroborar informações, para divulgar notícias rapidamente, e ele construiu um nível de confiança no qual muitas pessoas confiam. como uma grande mudança que essa confiança – que você não constrói da noite para o dia – diminuiu tão rapidamente. é uma voz confiável em seu campo para um serviço de assinatura de $ 8 para qualquer um que queira gastar o dinheiro – como um fator chave na erosão da confiança do usuário, e diz que colocou em risco a integridade e a reputação da marca.

“Aquele carrapato azul é muito difícil de conseguir. Conheço jornalistas extremamente famosos que, até duas semanas atrás, ainda lutavam para obtê-lo. Isso por si só já dava certo reconhecimento de que o Twitter apenas fornecia a forma extra de verificação para aqueles que podiam verificar no mais alto grau.

“Você não pode oferecer um visto azul como esse para todos ,” ele diz. “Isso dilui o que a verificação significa. E esse botão cinza ‘oficial’? Então qual era a questão? Você pode até começar a questionar se pode confiar em contas que sabe que são oficiais, porque não sabemos como é a segurança delas ou quais são suas políticas.”

Defense.com Oliver Pinson-Roxburgh concorda com o desastre do carrapato azul tem mudado o jogo em termos de confiabilidade e está abrindo as portas para outras fontes de risco cibernético para os usuários.

“Em vez de ser tradicionalmente ‘hackeado’ por meio da plataforma, o maior problema vem de ataques adversários baseados em informações, especialmente a representação. Quando todos os usuários ganharam a capacidade de adquirir um tique azul, uma ideia central no coração do Twitter mudou… É a temporada aberta para spoofing pessoal e profissional e ataques de personificação. De fato, uma mudança notável será que o salto em contas falsas também aumentará a probabilidade e trará maior credibilidade para outros ataques informativos, como phishing.

“As empresas estão tentando recuperar o atraso com esta nova realidade no Twitter. Recentemente, alguém registrou um nome de usuário semelhante ao da gigante farmacêutica Eli Lilly, pagou US$ 8 por um tique azul e rapidamente eliminou bilhões do preço de suas ações com um único tweet . Havia muito pouco que a Eli Lilly poderia ter feito para se defender desse ataque”, diz ele.

Uma perspectiva legal

Matthew Holman é chefe de tecnologia e proteção de dados no escritório de advocacia EMW. Ele concorda com o sentimento geral de que o caos reina na era Musk, mas ressalta que, na realidade, sabemos muito pouco sobre o que realmente está acontecendo. é muito claro que o Twitter precisa absolutamente ter os principais líderes de segurança e conformidade no local – nomeou o informante Renato Monteiro como DPO interino, embora não esteja claro o que significa “atuação” neste contexto.

Mesmo assim , diz Holman, há crescentes preocupações legais sobre a conformidade com a proteção de dados do Twitter e se ele atende aos padrões da União Europeia (UE) e do Regulamento Geral de Proteção de Dados (GDPR) do Reino Unido.

“Entendo por que as organizações estão cada vez mais preocupadas com a conformidade com a proteção de dados do Twitter e se ela ainda leva isso a sério em um mundo onde Elon Musk está no comando, mas essa é uma visão baseada na música ambiente; não vimos nenhuma evidência de violações que tenham surgido”, diz o especialista jurídico. simplesmente porque muito pouco tempo se passou desde que o serviço foi adquirido.

“Existem muitos sinais de que problemas de segurança e proteção de dados podem estar chegando, mas o que eles são é uma incógnita ,” ele diz. “Um fator indicativo é a saída repentina dos diretores de governança e conformidade de dados. Isso é uma preocupação. Devem ser feitas perguntas sobre o que os levou a sair e se sua saída cria uma lacuna de conformidade.”

“Eu não ficaria surpreso se o Twitter se tornasse um alvo crescente para hackers nefastos e o equivalente, ou pessoas com agendas anti-Musk ou anti-EUA, [ou] até mesmo pessoas internas descontentes com ressentimento, todas as quais potencialmente criam exposição a riscos para os negócios.”

Em termos de conformidade com o GDPR, a situação permanece altamente fluida. Durante a pesquisa deste artigo, surgiram sugestões de que o Twitter caiu ou cairá não cumprem o mecanismo One-Stop-Shop (OSS) do RGPD

. Esta é uma cláusula que permite que as organizações se envolvam exclusivamente com um único regulador principal da UE, em vez de 27 órgãos diferentes. No caso do Twitter, seu OSS é Comissão de Proteção de Dados da Irlanda (DPC).

“Se o DPC irlandês não optar mais por ser o One-Stop-Shop da UE do Twitter, o Twitter será repentinamente exposto a 27 A avaliação e execução independente dos Estados Membros – e a execução potencialmente separada da ICO – são essencialmente 28 investigações, o que, do ponto de vista jurídico, é um pesadelo absoluto. É do interesse do Twitter manter o DPC feliz”, diz ele.

Então, você deveria sair do Twitter?

Esta é a pergunta que muitos líderes empresariais e de segurança estarão intrigados . Você tira a presença da sua organização no Twitter e corre o risco de perder os benefícios de uma presença ativa na mídia social? Ou talvez uma abordagem mais cautelosa para o uso do Twitter esteja em ordem?

Algumas bandeiras vermelhas óbvias que podem influenciar uma decisão seriam violações históricas ou relatórios do mesmo e potencialmente novos produtos que voam perto de o vento em termos de conformidade ou não com a lei de proteção de dados. Este segundo fator representa um risco substancial, porque se uma organização se aproveitou de um novo produto do Twitter que não estava em conformidade, ela pode ter que responder pelo uso dele.

Mas, por enquanto, há muitos que dizem que este não é necessariamente o momento de reduzir o uso organizacional do Twitter, e nem é o momento de mudar para uma plataforma como o Mastodon que, embora digno em seus objetivos, é amplamente não testado em termos de uso corporativo .

“Acho que não é hora de empacotar tudo, não. As coisas mudam rapidamente o tempo todo, e não quero ver empresas dando tiros no próprio pé se Musk tiver outras ideias para vender a plataforma ou tiver outra coisa em mente”, diz Moore. “Empresas e usuários devem ser cautelosos sempre que puderem.”

“Não se apresse em nada”, diz Elena Davidson, CEO da

Liberty Communications

, uma empresa de Londres agência de relações públicas sediada. “Nosso conselho continua sendo firme e não fazendo mudanças drásticas; saiba mais sobre as implicações das mudanças e não mude seus planos até que esteja confiante nas mudanças na plataforma… Não abandone a plataforma completamente. Reserve um tempo para desenvolver sua estratégia com base nos fatos.”

No curto prazo, ela sugere, seria sensato não se inscrever no Twitter Blue, o serviço pago de marca azul, até que se saiba mais sobre o que esse processo envolve.

No futuro, diz Davidson, deve-se impressionar as equipes de mídia social que ainda há muitas estratégias que podem ser implantadas para garantir e até aumentar confiam em sua organização sações.

“Lembre-se de contribuir com conteúdo relevante apoiado por terceiros que reforcem sua marca e credibilidade,” diz Davidson. “Use multimídia, como vídeos e fotos, para aumentar o engajamento e a credibilidade; consulte outros identificadores do Twitter usados por sua empresa, executivos, parceiros e clientes. Isso ajudará a aumentar ainda mais sua credibilidade. Não se esqueça de também fazer links cruzados para identificadores executados em outras plataformas sociais, como o LinkedIn.

Finalmente, ela acrescenta: “Certifique-se de marcar terceiros confiáveis e de boa-fé em seus tweets e postagens – isso ajudará a aumentar ainda mais sua credibilidade.”

David Emm da Kaspersky acrescenta: “É importante que as empresas tenham uma estratégia claramente definida para o uso corporativo de todas as redes sociais, particularmente Twitter. Isso deve incluir quem na empresa tem permissão para acessar e usar a conta corporativa, diretrizes sobre como usá-la, incluindo como responder (ou não) a trolls, com uma compreensão de uma estratégia de escalonamento para equipes de tecnologia ou legais. seja necessário. E, finalmente, a empresa deve revisar a segurança de sua conta regularmente para garantir que os benefícios do uso da plataforma não sejam superados pelos negativos.”

David Higgins, diretor sênior da CyberArk’s O Field Technology Office acrescenta que, para algumas organizações, é necessário um grau ainda maior de cautela: “Aqueles que administram contas de mídia social do governo têm motivos para ter cautela, pois a autenticação para elas é menos direta. Normalmente, equipes de pessoas dentro de uma agência têm acesso e podem postar informações nessas contas, com senhas comumente compartilhadas internamente entre diferentes membros da equipe e alteradas com pouca frequência. E isso os torna um alvo muito fácil para invasores ou pessoas mal-intencionadas para desinformação – especialmente porque não há registro de quem postou o quê e quando.

Mesmo que todos os controles de segurança permaneçam ativados, os malfeitores sentiram o cheiro de sangue na água e estão todos fervilhando

Rachael Greaves, Castlepoint Systems

“As medidas de segurança dessas contas precisam ser reforçadas, mas de forma que não comprometa a velocidade das comunicações críticas. As opções podem incluir a eliminação de credenciais compartilhadas, a adoção de autenticação sem senha para acessar detalhes de login e a atividade de auditoria em contas para monitorar anomalias. Automatizar as alterações de credenciais também é uma obrigação, para que os funcionários ‘fantasmas’ não possam abusar das credenciais antigas.” , além de observar o que os concorrentes no mesmo espaço estão fazendo e observar o que o próprio Twitter e os reguladores fazem. ou expulsão, na última quinzena, das principais equipes de segurança, a verdadeira preocupação é que os contrapesos que equilibram o risco contra o valor não sejam mais pesados o suficiente para proteger a base de usuários. Essas equipes estavam trabalhando ativamente para eliminar golpistas, eliminar bugs e monitorar o ambiente de ameaças. Mesmo que todos os controles de segurança permaneçam ativados, os malfeitores sentiram o cheiro de sangue na água e estão todos fervilhando.

“Eventualmente, alguém vai enfiar os dentes. bandidos podem encontrar fendas na armadura. Existe um risco aqui para os indivíduos, que podem ter informações confidenciais em mensagens privadas comprometidas. E é arriscado para as corporações, cujas comunicações na plataforma podem ser consideradas ‘registros de negócios’. Citigroup, Morgan Stanley, Barclays, Bank of America e JP Morgan foram todos multados por permitir que funcionários usem aplicativos de mensagens – e isso apenas do ponto de vista da conformidade de registros. O que acontecerá quando essas comunicações forem violadas?

“Por enquanto, as empresas devem seguir os conselhos da SEC e CFTS e parar de fazer negócios no Twitter. Não apenas para evitar uma multa, mas para evitar danos à reputação de um grande vazamento de dados”, conclui ela.