Pod koniec października br. Elon Musk przejął kontrolę nad Twitterem. Wydarzenia z ostatnich tygodni, takie jak masowe zwolnienia, problemy z weryfikacją kont i chaos wewnątrz firmy wzbudziły wątpliwości dotyczące bezpieczeństwa tej platformy i przechowywanych w niej danych. Christopher Budd, dyrektor zespołu ds. wykrywania zagrożeń w firmie Sophos, podsumowuje sytuację dotyczącą Twittera, która budzi niepokój wśród specjalistów ds. bezpieczeństwa w aż pięciu różnych obszarach, a także radzi, jak zabezpieczyć swoje konto i dane przed cyberatakami.
Masowa i nagła utrata personelu
Doniesienia w mediach i na samym Twitterze wskazują, że w mniej niż miesiąc serwis stracił od 50% do 80% wszystkich pracowników. Odejścia i zwolnienia nastąpiły w sposób chaotyczny, przez co najważniejsze zespoły zajmujące się kwestiami bezpieczeństwa, moderacji treści i zarządzania prywatnymi danymi użytkowników są niedostatecznie lub nawet zupełnie nieobsadzone.
Z tej sytuacji wynikają dwa zagrożenia. Cyberprzestępcy mogą próbować wykorzystywać Twittera jako platformę do ataków i wysyłania użytkownikom spamu czy wiadomości phishingowych. Możliwe są też naruszenia systemów serwisu w celu gromadzenia i kradzieży prywatnych danych klientów platformy.
Na Twitterze znajduje się wiele wrażliwych informacji, a wiadomości prywatne (Direct Messages) nie są przechowywane na serwerach w zaszyfrowanej postaci. Z tej formy komunikacji od lat korzystają dziennikarze, politycy i aktywiści z całego świata. Każdy, kto jest w stanie uzyskać dostęp do wewnętrznych systemów Twittera, będzie mógł odczytać zawarte w wiadomościach prywatnych wrażliwe informacje.
Weryfikacja kont i zwalczanie dezinformacji
Od czasu przejęcia Twittera przez Elona Muska obserwujemy chaos związany z nowym systemem weryfikacji użytkowników. Zamieszanie z zakupami niebieskich znaczników przy nazwach kont, które dotychczas potwierdzały ich autentyczność, spowodowało, że w ciągu kilku dni ten działający przez lata system przestał poprawnie funkcjonować. Przez kilka dni bardzo trudno było odróżnić prawdziwe konta osób publicznych, firm czy instytucji od tych, które się pod nie podszywają lub je parodiują. Ostatecznie program rozszerzenia systemu weryfikacji został zawieszony, ale sama platforma stała się miejscem, w którym znacznie łatwiej jest rozprzestrzeniać nieprawdziwe informacje.
Przestrzeganie wymogów regulacyjnych w zakresie bezpieczeństwa i prywatności
Obawy dotyczą także zdolności i chęci Twittera kierowanego przez Elona Muska do przestrzegania rządowych zobowiązań regulacyjnych, w tym Federalnej Komisji Handlu Stanów Zjednoczonych (FTC), RODO i innych. Nie było jeszcze sytuacji, w której tak duża platforma tak szybko oddalała się od przestrzegania kluczowych przepisów. Bardzo możliwe, że sprawą serwisu społecznościowego w przyspieszonym trybie zajmą się niezależne organy regulacyjne.
Rentowność platformy
Elon Musk przyznaje, że jego serwis społecznościowy jest w trudnej sytuacji finansowej. Kłopoty potęgowane są przez problemy kadrowe: wiarygodne raporty wskazują, że firma nie ma już pracowników zajmujących się kwestiami podatkowymi. W razie nieodprowadzania odpowiednich danin Twitter naraża się na podjęcie prawnych kroków przez rządy i urzędy skarbowe wielu państw. Należy także zadać pytanie: co stanie się z danymi przechowywanymi w systemach Twittera, jeśli firma miałaby upaść? Czy informacje te zostałyby sprzedane w ramach likwidacji? Czy kontrolę nad nimi mogą przejąć takie państwa, jak Arabia Saudyjska czy Katar? Odpowiedź niestety nie jest znana.
Chaos wewnątrz firmy i niepewność dalszych kroków nowego właściciela
To, czym jest Twitter, zmienia się nie tylko z dnia na dzień, ale i z godziny na godzinę. Sprawia to, że ocena ryzyka podczas korzystania z tej platformy jest prawie niemożliwa. Przy wszystkich tych niewiadomych warto kierować się podstawową zasadą bezpieczeństwa, czyli zakładać najgorszy możliwy scenariusz. W tym przypadku jest to znaczne obniżenie standardów zabezpieczeń i prywatności, a także zniknięcie Twittera z sieci i wyciek danych użytkowników w niepowołane ręce. Dlatego odpowiednie kroki warto poczynić już teraz.
Jak skutecznie ochronić swoje dane na Twitterze?
Ryzyko wycieku poufnych informacji należy minimalizować. Tym bardziej, że już samo posiadanie konta może być zagrożeniem – nawet nie będąc aktywnym użytkownikiem Twittera i tak można stać się potencjalnym celem dla cyberprzestępców.
Twitter nadal umożliwia pobranie wszystkich danych z konta. Jeśli nie chcesz, aby nie zniknęły one bezpowrotnie, należy ściągnąć je na własny dysk. Realizacja takiego wniosku trwa kilka dni – warto wykonać ten krok możliwie jak najszybciej.
W obliczu zwiększonego zainteresowania Twitterem wśród cyberprzestępców dobrze jest usunąć z niego poufne informacje, takie jak data urodzenia, numery telefonów, informacje o płatnościach, dane o lokalizacji geograficznej i inne szczegóły, które mogą stanowić potencjalne niebezpieczeństwo. Po pobraniu kopii zapasowej warto rozważyć usunięcie wszystkich opublikowanych tweetów, zdjęć i prywatnych wiadomości. W razie potencjalnego wycieku nie trafią one w niepowołane ręce.
Hasła do Twittera nie powinno się używać w innych miejscach. Jeśli jednak stosowana była taka praktyka, należy zmienić je na unikalną kombinację znaków. Dla większego bezpieczeństwa zaleca się włączyć uwierzytelnianie wieloskładnikowe z użyciem aplikacji lub klucza bezpieczeństwa. Lepiej jednak nie używać w tym celu prywatnego numeru telefonu. Należy również zablokować dostęp wszystkim podłączonym do Twittera aplikacjom.
Osoby planujące pozostanie aktywnymi na Twitterze powinny poważnie rozważyć ograniczenie dostępu do swoich kont. Da to możliwość kontrolowania kto może zobaczyć posty i interakcje. Natomiast chcąc w pełni zrezygnować z używania tej platformy, nie należy jednak całkowicie usuwać konta. W takim przypadku może dojść do przejęcia nazwy użytkownika i prób podszywania się pod niego.
Odróżnienie prawdy od kłamstwa na Twitterze jest obecnie trudniejsze niż jeszcze kilka tygodni temu. Bezpieczniej jest zakładać, że użytkownicy nie są tymi, za kogo się podają i weryfikować ich tożsamość oraz podawane przez nich informacje. Dotyczy to zwłaszcza kont osób publicznych lub instytucji.
Trudno przewidzieć co w kontekście wiarygodności Twittera stanie się w najbliższych dniach, tygodniach i miesiącach. Nie należy jednak wpadać w panikę, tylko zadbać o swoje bezpieczeństwo. Podejmując szybko odpowiednie kroki można przygotować się nawet na najgorszy, z perspektywy użytkownika, rozwój wydarzeń.