Más de 1000 empleados de Twitter tenían el acceso de seguridad necesario para ayudar a los piratas informáticos

ACTUALIZACIÓN: Se dice que más de 1000 empleados y contratistas de Twitter tuvieron acceso a las mismas herramientas internas que se cree que permitieron a los ciberdelincuentes obtener el control de 36 cuentas de alto perfil, según dos ex empleados de Twitter.

Hablando con Reuters , los exmiembros del personal familiarizados con las prácticas de seguridad de Twitter dijeron que, a principios de 2020, estos empleados tenían el poder de realizar cambios en la configuración de la cuenta de usuario, así como transferir los controles a otras partes.

El número incluye no solo al personal permanente de Twitter, sino también a los contratistas del proveedor estadounidense de servicios de TI Cognizant, lo que genera preguntas sobre por qué tanta gente recibió privilegios de seguridad de tan amplio alcance.

Los exempleados también dijeron a Reuters que, a pesar del incumplimiento de la semana pasada, la política de seguridad de la empresa sigue siendo una mejora en los procedimientos operados durante su tiempo en la empresa. Twitter había decidido tomar medidas enérgicas contra las infracciones registrando la actividad de su personal luego de un incidente en noviembre de 2019, cuando un empleado fue atrapado supuestamente espiando para el gobierno de Arabia Saudita.

Según Ilia Kolochenko, fundadora y directora ejecutiva de la empresa de seguridad web ImmuniWeb, el ataque "fue mejorado por la explotación de otras debilidades en la seguridad interna de Twitter".

“No se excluye que los atacantes fueran asistidos por un interno o estuvieran explotando una vulnerabilidad de alto riesgo detectada en uno de los sistemas web de Twitter. De lo contrario, podemos inferir razonablemente que Twitter prácticamente no tiene controles de seguridad internos ni las mejores prácticas que normalmente deberíamos esperar de una empresa tecnológica de su tamaño”, dijo.

Mientras tanto, en una llamada a los inversores el jueves, el presidente ejecutivo de Twitter, Jack Dorsey, admitió haber cometido errores:

“Nos quedamos atrás, tanto en nuestras protecciones contra la ingeniería social de nuestros empleados como en las restricciones de nuestras herramientas internas”, dijo.

23/07/2020: Los ciberdelincuentes que atacaron 130 cuentas como parte del gran hackeo de Twitter de la semana pasada obtuvieron acceso a las comunicaciones privadas de hasta 36 titulares de cuentas, confirmó la compañía.

Entre las personas objetivo, los piratas informáticos comprometieron 45 cuentas en la medida en que pudieron enviar tweets, y un cuarto 36 tuvo acceso a sus mensajes directos, según la firma. Se cree que se accedió a los datos archivados de al menos ocho cuentas a través de la herramienta "Tus datos de Twitter", que contiene la totalidad de la actividad de su cuenta, aunque ninguna de estas ocho cuentas está "verificada" en la plataforma.

Twitter no ha indicado si hay alguna superposición entre aquellos cuyas cuentas se vieron comprometidas, aquellos a quienes se accedió a sus mensajes directos y aquellos cuyos datos archivados se descargaron.

Varias personas de alto perfil, incluido el expresidente de EE. UU. Barack Obama y el líder demócrata Joe Biden, se encontraban entre los involucrados en el ataque, como lo demuestran varios tuits que promocionan un esquema fraudulento de recompra de Bitcoin, lo que sugiere que estos estaban entre los 45. Otras cuentas tuiteando de tal manera incluyó a Jeff Bezos, Bill Gates y otras figuras empresariales prominentes.

Los tuits fraudulentos describían un esquema en el que cualquier Bitcoin donado a una billetera específica se devolvería duplicado al usuario. Hasta la fecha, la estafa ha atraído 396 transacciones de Bitcoin por valor de más de 96 000 £ en total.

Por lo general, si un pirata informático obtiene el control total de una cuenta hasta el punto de poder enviar tweets, también podrá leer mensajes directos enviados anteriormente o incluso enviar mensajes nuevos con facilidad.

Twitter, sin embargo, ha insistido en que solo un funcionario electo, un político holandés anónimo, se encontraba entre aquellos cuyos mensajes directos fueron accedidos. Actualmente no hay indicios, agregó la compañía, de que se haya accedido a sus mensajes directos de otros funcionarios electos anteriores o actuales, lo que descarta que personas como Obama o Biden se encuentren entre los 36.

Aunque los atacantes obtuvieron el control total de algunas cuentas, Twitter ha dicho que no habrían podido ver las contraseñas anteriores, ya que no se almacenan en texto sin formato. Agregó que incluso con acceso a herramientas internas, los piratas informáticos aún no habrían podido verlas.

Sin embargo, los piratas informáticos pudieron ver la información personal, incluidas las direcciones de correo electrónico y los números de teléfono, que se muestran a algunos empleados que tienen acceso a las herramientas de soporte interno de la empresa.

De las cuentas que fueron tomadas, los piratas informáticos pudieron ver lo que Twitter describió como "información adicional". La compañía agregó que su investigación forense de estas actividades aún está en curso.

Mientras tanto, el fundador de McAfee, John McAfee, sugirió que su propia cuenta de Twitter fue pirateada o congelada en las últimas 12 horas, con algunos tweets desapareciendo o vistos solo por un puñado de personas. No está claro si estos informes están relacionados con el gran hackeo de la semana pasada.

A medida que continúa la investigación, Twitter dijo que protegería aún más sus sistemas para evitar futuros ataques e implementaría capacitación adicional en toda la empresa para protegerse contra las tácticas de ingeniería social.

Esta historia se actualizó el 24/07/2020