O que podemos aprender com o incidente do Twitter?
No dia 15 do mês passado, se você não acompanhou, o Twitter teve diversas contas verificadas comprometidas, como as do Barack Obama, Bill Gates, Elon Musk e Apple, para elencar algumas.
We are aware of a security incident impacting accounts on Twitter. We are investigating and taking steps to fix it. We will update everyone shortly.
— Twitter Support (@TwitterSupport) July 15, 2020
Todas as contas comprometidas estavam enviando a mesma mensagem falsa a todos, solicitando o envio de bitcoins para o endereço da carteira apresentado, para que pudesse receber o valor em dobro:
Estima-se que o endereço recebeu por volta de 120 mil dólares em Bitcoins (cerca de 12 BTCs) em poucas horas. Infelizmente muita gente caiu...
Como a comunidade de segurança imaginava, o ataque se originou a partir de um Vishing, que nada mais é do que um Phishing por meio de um telefone, que foi aplicado em alguns dos colaboradores, para que assim, conseguisse acesso aos sistemas internos do Twitter:
Para você que está se perguntando como funciona o Vishing, vejam o exemplo demonstrado pela @RachelTobac na reportagem abaixo. Vejam como foi fácil pra ela aplicar:
Todas as tratativas de resposta a esse incidente continuam sendo feitas pelo Twitter e estão sendo descritas aqui:
E os responsáveis já foram identificados:
Mas, afinal, o que podemos aprender com esse incidente?
Obviamente que ninguém quer passar por isso, mas ao meu ver, o Twitter está dando uma bela de uma aula de transparência e resposta a incidente.
Em tempos de leis de proteção de dados, todas as empresas vão ter que estar preparada para fazer exatamente isso, responder de imediato o incidente, para diminuir o impacto aos usuários/titulares atingidos e claro ao negócio. Além disso, em momentos assim, precisará sim, ser transparente com a sociedade sobre os ocorridos.
Para completar, nos mostra que a Engenharia Social, que neste caso foi por meio do Vishing, continua sendo um dos métodos mais usados, pela facilidade em explorar uma falha humana. Eis a importância de reforçar no programa de conscientização em segurança da sua empresa sobre esse tipo de ameaça.