Las fallas de seguridad que hacen que la amenaza interna de Twitter sea tan aterradora

by Ehsan

Las fallas de seguridad que hacen que la amenaza interna de Twitter sea tan aterradora

[ad_1]

La divulgación del denunciante de Peiter «Mudge» Zatko contenía muchas afirmaciones alarmantes en Twitter, desde métricas confusas de bots hasta mala conducta ejecutiva, pero una de las afirmaciones más alarmantes fue que la empresa estaba infiltrada activamente por agentes del gobierno indio. Para una plataforma que siempre se ha presentado como un refugio para periodistas y activistas, es una afirmación preocupante que la empresa no ha confrontado directamente en las respuestas a los medios estadounidenses.

Pero las acusaciones son menos extravagantes de lo que parecen, y forman parte de un problema mucho mayor para las plataformas tecnológicas internacionales.

La presentación de Zatko ante la SEC afirma que durante su mandato como jefe de seguridad de Twitter, se le informó que el gobierno indio había obligado a Twitter a emplear a uno de sus agentes.

En una sección del informe titulada “Penetración de inteligencia extranjera y amenazas a la democracia”, el archivo señala:

El gobierno indio obligó a Twitter a contratar a individuos específicos que eran agentes del gobierno, quienes (debido a las fallas arquitectónicas centrales de Twitter) tendrían acceso a grandes cantidades de datos confidenciales de Twitter.

La relación de Twitter con el gobierno indio ha sido particularmente tensa, y culminó con una redada en 2021 en las oficinas de la compañía en Delhi en respuesta a un mal uso percibido de la etiqueta de «medios manipulados» de la plataforma. La moderación de Twitter en el país es un tema espinoso, ya que a menudo se han utilizado rumores falsos para desencadenar la violencia de las turbas contra la población minoritaria musulmana. Para la mayoría de los defensores del discurso, estas decisiones son demasiado delicadas para incluir a un actual empleado del gobierno de derecha, a quien algunos ven como un apoyo implícito a la violencia.

Como dijo Zatko, la falla operativa que condujo a la contratación de un agente del gobierno se vio agravada por un problema básico de seguridad. En la presentación ante la SEC, alegó que «la mitad de los 10.000 empleados de Twitter y en aumento» tenían acceso a sistemas de producción en vivo y datos confidenciales de los usuarios. No está claro si esa lista incluía al presunto agente extranjero, pero un problema de acceso tan extenso hace que cualquier esfuerzo de mitigación sea mucho más difícil.

En este momento, los detalles también son confusos sobre hasta qué punto Twitter hizo voluntariamente esta concesión. La plataforma ha tenido problemas en India y actualmente está tomando acciones legales contra el gobierno indio por ordenar el bloqueo de cierto contenido crítico con la administración de Modi. Su competidor Facebook también ha tenido problemas, pero de un orden diferente: en 2020, su jefe de política en la India renunció después de haber sido fuertemente criticado por no abordar el discurso de odio antimusulmán en la plataforma.

La prensa india, muy consciente de que la vigilancia y la intimidación de los periodistas ha aumentado constantemente en el país, se tomó en serio las acusaciones, aunque los periodistas en el país parecen haber tenido problemas para obtener información adicional de la plataforma.

“La revelación de un denunciante de que el gobierno indio obligó a Twitter a contratar a su agente, quien luego obtuvo acceso a los datos de los usuarios de la plataforma, debería alarmar a cualquiera que esté remotamente interesado en la salud de la democracia en el país”, decía un editorial en El hindú, uno de los periódicos en inglés más importantes del país. “Como mínimo, esto requiere una respuesta oficial del gobierno y de Twitter”.

Contactado para comentarios por El bordeun portavoz de Twitter envió un comunicado emitido por el CEO y proporcionado previamente a la prensa, cuestionando las afirmaciones de Zatko como una «narrativa falsa sobre Twitter y nuestras prácticas de privacidad y seguridad de datos que está plagada de inconsistencias e imprecisiones y falta de contexto importante».

Hay mucho en juego debido al alcance casi global de Twitter y la gran cantidad de datos confidenciales que protege. Aunque el contenido de los tweets es público por defecto, los mensajes directos funcionan como un canal de retroalimentación privado entre los usuarios, pero que muchos empleados pueden interceptar. Después de un ataque informático en 2020 en el que se comprometieron varias cuentas de celebridades ampliamente seguidas, se supo que los contratistas con acceso a las herramientas internas de Twitter las habían estado usando durante años para espiar a las celebridades, mirar mensajes directos para leer conversaciones privadas y usar el registro de IP para rastrear sus cuentas aproximadas. ubicaciones. No hace falta decir que esta es una capacidad que muchos gobiernos represivos estarían felices de tener.

No son solo los gobiernos extranjeros los que podrían intentar romper la seguridad de Twitter desde adentro. Otra sección de la divulgación de Zatko detalla su intento de bloquear los sistemas de Twitter para defenderse de posibles amenazas internas después del levantamiento del 6 de enero, y el posterior descubrimiento de que no había manera de llegar a eso.

De hecho, Twitter ya se ha visto comprometido de una manera muy similar. En 2019, se descubrió que dos ex empleados de Twitter en los Estados Unidos accedían a la información de la plataforma sobre críticos de Arabia Saudita bajo la dirección del gobierno saudí. Tras su denuncia, el Ministerio de Justicia los acusó de actuar como agentes extranjeros no registrados.

Un problema persistente

Los grupos de seguridad nacional se han centrado especialmente en este tipo de ataques internos en los últimos años. En un informe de 2021 enviado a las empresas estadounidenses, el Centro Nacional de Seguridad y Contrainteligencia advierte que un número cada vez mayor de actores estatales y no estatales están apuntando a los Estados Unidos, tratando de obtener inteligencia «empleando una variedad de técnicas ilegales, incluidas amenazas internas, penetraciones cibernéticas, ataques a la cadena de suministro y operaciones combinadas que combinan algunos o todos estos métodos.

Entonces, para cualquier empresa del tamaño de Twitter, la pregunta no es si enfrentará una amenaza interna, sino cuando. David Thiel, director de tecnología del Observatorio de Internet de Stanford y ex ingeniero de seguridad de Facebook, dijo El borde que la mejor práctica para las empresas de tecnología es asumir que se producirán amenazas internas y limitar su impacto de forma preventiva. La verificación del personal es un paso importante, dijo Thiel, pero dado que no atrapará a todos los posibles malos actores, los controles de acceso estrictos y los sistemas de monitoreo sofisticados son cruciales.

“Es un área delicada porque no quieres encontrarte en una situación en la que veas a todos los que trabajan para ti en un país en particular como posibles espías”, dijo Thiel. «Entonces, es algo que debe hacerse con controles de ingeniería que se apliquen de manera uniforme y justa en todo el mundo».

También es posible que los ejecutivos de Twitter sintieran que no tenían más remedio que cumplir. Rose Jackson, directora de Democracy & Tech Initiative en el Laboratorio de Investigación Forense Digital del Atlantic Council, dice que el gobierno de EE. UU. ha adoptado «un enfoque totalmente pasivo» para la gobernanza de las empresas tecnológicas globales con sede en EE. UU., dejándolas valerse por sí mismas cuando navegan cuestiones geopolíticas delicadas.

Pero el resultado sigue siendo un precedente escalofriante para las plataformas y sus usuarios. Jackson dice que una situación hipotética en la que Estados Unidos obligue a las empresas a emplear oficiales de inteligencia aún estaría «fuera de alcance».

“Si Estados Unidos le dijera a Twitter que si querían continuar operando en Estados Unidos, que un oficial de inteligencia de Estados Unidos debería ser incluido en su personal, y Twitter dijo ‘está bien’, entonces eso sería un gran escándalo digno de una investigación seria. dijo Jackson. El borde. «Las implicaciones de seguridad nacional, las implicaciones de seguridad cibernética de esto: es una idea extraña que este sería un comportamiento aceptable».

[ad_2]

Source link