Seguridad

Twitter se disculpa por incidente de seguridad de datos

Twitter notificó a los clientes comerciales el martes que su información personal, incluidas las direcciones de correo electrónico, los números de teléfono y los últimos cuatro dígitos de los números de tarjetas de crédito, puede haber sido comprometida. Sin embargo, Twitter dijo que hasta el momento no hay evidencia de que esto haya sucedido.

Los anunciantes de autoservicio que ven información de facturación en ads.twitter.com o analytics.twitter.com se ven afectados cuando Twitter actualiza las instrucciones enviadas al caché del navegador para evitar que esto suceda.

El problema ocurrió antes del 20 de mayo de 2020, pero Twitter solo notificó a los clientes el 23 de junio.

Los anunciantes de autoservicio, que son pymes, sufren. Twitter lanzó un servicio en 2012 que permite a las pequeñas y medianas empresas comprar y colocar anuncios en su plataforma. Ahora está disponible para clientes en más de 200 países de todo el mundo.

Los clientes con preguntas adicionales pueden escribir a Oficial de protección de datos de Twitter.

raíz del problema

Según el reportero de la BBC Alex Martin, el sistema de Twitter no pudo enviar un encabezado JSON que especifica que los navegadores no deben almacenar en caché la información de facturación y que los navegadores almacenan esa información de manera predeterminada.

Tal vez una fuga, pero no una violación. Descripción breve: Twitter no pudo enviar un encabezado JSON que especifica que el navegador no debe almacenar en caché la información de facturación, por lo que el navegador la almacena en caché de manera predeterminada. Esto es lo que pasó. El perfil de riesgo es muy limitado…

— Alejandro Martín (@AlexMartin) 23 de junio de 2020

Lo más probable es que el encabezado nunca se haya configurado, Twitter implementó un cambio el 20 de mayo para abordar la situación, según el investigador de seguridad informática Craig Young. cable trampadijo a TechNewsWorld.

«Este es un error que probablemente ha existido desde el lanzamiento de la plataforma de publicidad y análisis», Chris Clements, vicepresidente de arquitectura de soluciones. Centinela Cerbero, dijo a TechNewsWorld. «O bien, podría haberse introducido inadvertidamente en cualquier momento».

No estaría claro por qué se ignoraba el encabezado JSON si Twitter no hubiera publicado su propio análisis de causa raíz, dijo Clements, pero «podría deberse a cambios de codificación no intencionales que no se descubrieron correctamente durante una revisión de seguridad, en lugar de una ataque malicioso», dijo Clements. el comportamiento de la persona».

Las prácticas de codificación actuales pueden ser la razón, sugirió. «Desafortunadamente, muchas nuevas empresas adoptan el mantra de ‘moverse rápido y romper cosas’, lo que significa que las mejores prácticas de seguridad para prevenir y detectar tales errores a menudo se pasan por alto, a costa del cliente».

¿Por qué demorar en notificar a los clientes?

Ha pasado más de un mes desde que Twitter solucionó el problema, pero la demora en notificar a los clientes no es motivo de preocupación, James McQuiggan, defensor de la conciencia de seguridad. SaberBe4dijo a TechNewsWorld.

“Para una gran organización como Twitter, esto activará su equipo de respuesta a incidentes”, dijo. “Debido a que el cliente está involucrado, tiene que traer a su equipo legal, comunicaciones, alta gerencia, etc. La velocidad a la que se comunican con el público depende de su plan de riesgo empresarial”.

Una vez que Twitter haya revisado el problema, haya identificado la causa raíz y solucionado la filtración, el equipo técnico proporcionará al departamento legal una declaración de comunicación para su revisión, seguida de más reuniones y luego la publicación de información.

«Un mes parece demasiado», dijo Clements. Aún así, podría haber otros factores de confusión, como determinar qué cuentas de clientes pueden haber sido afectadas por el error, y es posible que Twitter no haya priorizado el riesgo potencial para los usuarios lo suficientemente alto como para enviar notificaciones rápidamente.

Alcance del problema

El tiempo que se almacenan los datos confidenciales en los cachés del navegador del lado del cliente depende de cuánto espacio de caché tiene el navegador y cuánto contenido almacenable en caché se carga, dijo Young.

«No hay un límite de tiempo claro sobre cuánto tiempo se pueden almacenar los datos confidenciales en el caché a menos que esté marcado con una fecha de vencimiento», agregó.

Aún así, «la falta de este control de seguridad nunca ha sido una amenaza considerable para la mayoría de los usuarios», con la excepción de los sistemas informáticos compartidos, muchos de los cuales ya están configurados para borrar cachés entre sesiones, señaló Young.

Clements señaló que cualquier información confidencial almacenada en caché se limitará al dispositivo local utilizado para acceder a la información. Siempre que ninguna otra parte tenga acceso al dispositivo y no haya sido pirateado, los datos no se ven comprometidos.

Además, los navegadores web pueden borrarse o caducar según la configuración del dispositivo. Esto también puede limitar el tiempo que los datos se almacenan en la memoria caché local.

El almacenamiento de datos confidenciales no es un peligro inmediato en sí mismo, y robarlos requeriría que un atacante acceda al dispositivo de cada cliente, dijo Clements. Decir. «Los atacantes maliciosos que obtengan acceso al desarrollo de Twitter necesario para introducir este problema tendrían objetivos más atractivos para el robo y la violación de datos».

Venta de anuncios en Twitter

La noticia de la violación de datos no afectará seriamente las ventas de anuncios de Twitter, analista jefe Ray Wang investigación de constelacionesdijo a TechNewsWorld.

En febrero, Twitter reportó ingresos publicitarios de $885 millones en el cuarto trimestre de 2019, un 12 % más año tras año. Su informe del primer trimestre de 2020, presentado en abril, dijo que los ingresos publicitarios totales del trimestre cayeron alrededor de un 27% año tras año debido a la pandemia.

Sin embargo, en general, la pandemia «ha sido buena para la mayoría de las redes sociales, ya que ha aumentado la participación y el tiempo dedicado a las redes sociales», dijo Wang.

LEER  Los phishers exitosos obtienen ganancias modestas en 2020

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba