Bretxa de ciberseguretat a Twitter, on milers de treballadors tenen accés a dades personals dels usuaris

Twitter compta amb uns 1.500 treballadors que restableixen comptes, revisen les infraccions dels usuaris i responen a possibles violacions de contingut per als 186 milions d'usuaris diaris del servei. Sembla ser que durant anys alguns d'aquests empleats han espiat els comptes dels perfils de personalitats públiques i famosos.

«Twitter ha lluitat durant anys per a vigilar el creixent nombre d'empleats i contractistes que tenen la capacitat de restablir els comptes dels usuaris i anul·lar la seva configuració de seguretat», han dit diversos ex empleats amb coneixement de les operacions de seguretat de l'empresa a Bloomberg.

Supervisar bé a aquest grup de treballadors ha estat una «preocupació recurrent» per a la companyia, afegeixen. L'amplitud de les dades personals als quals la majoria d'aquests treballadors poden accedir és «relativament limitada”», però inclou direcciones de protocol d'internet, adreces de correu electrònic i números de telèfon, informació més que suficient per a «espiar o fins i tot ‘hackejar’ un compte», asseguren.

Aquests ex treballadors han filtrat al mitjà internacional que «els controls eren tan porosos que en un moment donat en 2017 i 2018 alguns contractistes van crear una espècie de joc en crear consultes falses de la taula d'ajuda que els van permetre donar un cop d'ull als comptes de celebritats, inclòs la de Beyoncé, per a rastrejar les dades personals de les estrelles, incloent la seva ubicació aproximada, recollida de les adreces IP dels seus dispositius», van dir dos dels ex empleats.

En aquest moment, recerques federals i internes estan en curs pel cas del ‘hackeig’ dels Bitcoin. Mentrestant, Twitter ha dit que els ‘hackers’ d'alguna manera van enganyar als empleats per a obtenir accés als comptes.

Els atacants van contactar almenys a un empleat de Twitter per telèfon en un esforç per obtenir informació de seguretat que els ajudaria a accedir a les eines internes de suport a l'usuari de Twitter, segons persones familiaritzades amb la investigació.

Twitter va requerir que els empleats prenguessin un curs de capacitació en seguretat informàtica la setmana passada, que va cobrir una sèrie de tècniques de 'phishing', incloses trucades telefòniques. Una portaveu de Twitter va dir que la companyia duu a terme una capacitació de seguretat regular «en línia amb el nostre compromís de protegir la privacitat i seguretat de les persones a les quals servim».

En l'atac del 15 de juliol, 130 comptes es van veure compromeses, incloses els pertanyents a Barack Obama, Joe Biden, Jeff Bezos i Elon Musk, i les dades del compte van ser robats de vuit d'ells, va dir Twitter, sense identificar els comptes encara que afirmant que no es tractava de ‘comptes verificats’. Els tuits es van enviar des dels comptes segrestats prometent que els seguidors que van enviar Bitcoin a una adreça específica rebrien el doble de reemborsament.