Расследование летнего Twitter взлом Департамента финансовых услуг штата Нью-Йорк (NYSDFS) закончился язвительным упреком за то, как легко Twitter позвольте себе быть обманутым «простой» техникой социальной инженерии и более широким призывом к регулированию ключевых платформ социальных сетей с точки зрения безопасности.
В отчете NYSDFS указывает, в качестве противоположного примера, насколько быстро регулируемый криптовалютные компании приняли меры для предотвращения Twitter хакеры обманывают еще больше людей, аргументируя это тем, что технические инновации и регулирование не исключают друг друга.
Дело в том, что крупнейшие платформы социальных сетей обладают огромной социальной властью (со всеми связанными с ними рисками для потребителей), но не регулируют ответственность за защиту пользователей.
В отчете делается вывод, что это проблема, которую законодатели США должны решить и решить эту проблему со статистикой, – рекомендуя создать наблюдательный совет (для «определения системно значимых компаний в социальных сетях») и назначить «соответствующий» регулятор для «мониторинга и надзора» за безопасностью. практики основных социальных сетей.
«Социальные сети превратились в незаменимое средство коммуникации: более половины американцев используют социальные сети, чтобы получать новости и общаться с коллегами, семьей и друзьями. Эта эволюция требует регулирующего режима, который отражает социальные сети как критически важную инфраструктуру », – пишет NYSDFS, прежде чем указать, что« до сих пор нет специального государственного или федерального регулирующего органа, уполномоченного обеспечивать адекватные методы кибербезопасности для предотвращения мошенничества, дезинформации и прочего. системные угрозы гигантам социальных сетей ».
«В Twitter «Хакерство» больше всего демонстрирует риск для общества, когда системно важные институты оставляют самоуправление », – добавляет он. «Защита системно важных социальных сетей от неправомерного использования имеет решающее значение для всех нас – потребителей, избирателей, правительства и промышленности. Пришло время для действий правительства ».
Мы обратились к Twitter за комментарий к отчету
Среди основных результатов расследования Департамента – то, что хакеры взломали Twitterсистемы, позвонив сотрудникам и заявив, что они TwitterИТ-отдел – с помощью этого простого метода социальной инженерии им удалось обманом заставить четырех сотрудников передать свои учетные данные. Оттуда они могли получить доступ к Twitter аккаунты высокопоставленных политиков, знаменитостей и предпринимателей, в том числе Барака Обаму, Ким Кардашьян Уэст, Джеффа Безоса, Илона Маска и ряда криптовалютных компаний, – используя захваченные аккаунты, чтобы сообщать миллионам пользователей о крипто-мошенничестве.
Twitter ранее подтвердил, что для получения учетных данных использовалась атака «телефонный фишинг».
Согласно отчету, мошеннические сообщения хакеров «удвойте ваш биткойн», содержащие ссылки для совершения платежа в биткойнах, позволили им украсть биткойны на сумму более 118 000 долларов США. Twitter пользователей.
Хотя значительно большая сумма была предотвращена от кражи в результате быстрых действий, предпринятых регулируемыми криптовалютными компаниями, а именно: Coinbase, Square, Gemini Trust Company и Bitstamp, которые, по утверждению Департамента, заблокировали множество попыток переводов, совершаемых мошенниками.
«Это быстрое действие заблокировало более 6000 попыток перевода на сумму около 1,5 млн. $ на биткойн-адреса хакеров», – отмечается в отчете.
Twitter также вызван из-за того, что на момент взлома у него не было начальника службы кибербезопасности – после того, как он не смог заменить Майкла Коутса, который ушел в марте. (В прошлом месяце было объявлено, что Ринки Сетхи нанята в качестве директора по информационной безопасности).
«Несмотря на то, что в 2019 году это глобальная платформа социальных сетей, насчитывающая более 330 миллионов пользователей в месяц, Twitter не хватало адекватной защиты кибербезопасности », – пишет NYSDFS. «Во время нападения, Twitter не имел главного сотрудника по информационной безопасности, адекватных средств контроля доступа и управления идентификацией, а также адекватного мониторинга безопасности – некоторых из основных мер, требуемых первым в стране постановлением Департамента о кибербезопасности ».
Закон о защите данных Европейского Союза уже предусматривает требования безопасности как часть всеобъемлющей структуры конфиденциальности и безопасности (с серьезными штрафами, возможными за нарушения безопасности). Однако расследование ирландского ЦОДа 2018 г. Twitter инцидент с безопасностью все еще не решен после того, как проект решения не получил поддержки со стороны других органов контроля данных ЕС в августе этого года, что вызвало дальнейшую задержку общеевропейского процесса регулирования.