Última actualización el 22 de julio de 2020 a las 5:00 p.m. PT con detalles adicionales en la sección “A qué accedieron los atacantes” a continuación.
Como hemos estado informando, el miércoles 15 de julio de 2020, la Red Social de Twitter fue victima de un incidente grave de seguridad, a pocas horas empezaron a informar los acontecimientos y las medidas que de forma inmediata estaban implementando. A medida que fueron avanzando dichas investigaciones en el fin de semana, han querido hoy proporcionar una visión general de dónde están.
Twitter informa:
En esta publicación resumimos la situación a partir del 17 de julio a las 8:35 p. M., Hora del Pacífico. La siguiente información es lo que sabemos hasta hoy y puede cambiar a medida que continúen nuestra investigación y las investigaciones externas. Además, a medida que se desarrolla la investigación de este incidente, hay algunos detalles, particularmente sobre la remediación, que no estamos proporcionando en este momento para proteger la seguridad del esfuerzo. Proporcionaremos más detalles, cuando sea posible en el futuro, para que la comunidad y nuestros compañeros puedan aprender y beneficiarse de lo que sucedió.
Qué pasó?
En este momento, creemos que los atacantes atacaron a ciertos empleados de Twitter a través de un esquema de ingeniería social. ¿Qué significa esto? En este contexto, la ingeniería social es la manipulación intencional de las personas para realizar ciertas acciones y divulgar información confidencial.
Los atacantes manipularon con éxito a un pequeño número de empleados y utilizaron sus credenciales para acceder a los sistemas internos de Twitter, incluido el acceso a nuestras protecciones de dos factores. A partir de ahora, sabemos que accedieron a herramientas que solo están disponibles para nuestros equipos de soporte interno para apuntar a 130 cuentas de Twitter. Para 45 de esas cuentas, los atacantes pudieron iniciar un restablecimiento de contraseña, iniciar sesión en la cuenta y enviar Tweets. Continuamos nuestra revisión forense de todas las cuentas para confirmar todas las acciones que se hayan tomado. Además, creemos que pueden haber intentado vender algunos de los nombres de usuario.
Para hasta ocho de las cuentas de Twitter involucradas, los atacantes dieron el paso adicional de descargar la información de la cuenta a través de nuestra herramienta ” Sus datos de Twitter “. Esta es una herramienta que está destinada a proporcionar al propietario de una cuenta un resumen de los detalles y la actividad de su cuenta de Twitter. Nos estamos comunicando directamente con cualquier propietario de la cuenta donde sabemos que esto es cierto. Ninguno de los ocho eran cuentas verificadas.
Nuestras acciones
Nos dimos cuenta de la acción de los atacantes el miércoles y nos movimos rápidamente para bloquear y recuperar el control de las cuentas comprometidas. Nuestro equipo de respuesta a incidentes aseguró y revocó el acceso a los sistemas internos para evitar que los atacantes accedan aún más a nuestros sistemas o cuentas individuales. Como se mencionó anteriormente, estamos limitando deliberadamente los detalles que compartimos en nuestros pasos de remediación en este momento para proteger su efectividad y brindaremos más detalles técnicos, cuando sea posible, en el futuro.
Además de nuestros esfuerzos detrás de escena, poco después de que nos dimos cuenta de la situación actual, tomamos medidas preventivas para restringir la funcionalidad de muchas cuentas en Twitter; esto incluía cosas como evitar que tuiteen o cambien contraseñas. Hicimos esto para evitar que los atacantes propaguen aún más su estafa, así como para evitar que puedan tomar el control de cualquier cuenta adicional mientras estábamos investigando. También bloqueamos cuentas en las que recientemente se había cambiado una contraseña por precaución. A última hora del miércoles, pudimos devolver la funcionalidad de Tweeting a muchas cuentas y, a partir de hoy, hemos restaurado la mayoría de las cuentas que estaban bloqueadas en espera de cambios de contraseña para sus propietarios.
Continuamos nuestra investigación de este incidente, trabajando con la policía y determinando acciones a largo plazo que debemos tomar para mejorar la seguridad de nuestros sistemas. Tenemos varios equipos trabajando las 24 horas enfocados en esto y en mantener a las personas que usan Twitter seguras e informadas.
A qué accedieron los atacantes?
La pregunta más importante para las personas que usan Twitter es probable: ¿vieron los atacantes algo de mi información privada? Para la gran mayoría de las personas, creemos que la respuesta es no. Para las 130 cuentas que se dirigieron, esto es lo que sabemos a partir de hoy.
- Los atacantes no pudieron ver las contraseñas de cuentas anteriores, ya que no están almacenadas en texto plano ni disponibles a través de las herramientas utilizadas en el ataque.
- Los atacantes pudieron ver información personal, incluidas direcciones de correo electrónico y números de teléfono, que se muestran a algunos usuarios de nuestras herramientas de soporte interno.
- En los casos en que el atacante se hizo cargo de una cuenta, es posible que hayan podido ver información adicional. Nuestra investigación forense de estas actividades aún está en curso.
Creemos que hasta 36 de las 130 cuentas específicas, los atacantes accedieron a la bandeja de entrada de DM, incluido 1 funcionario electo en los Países Bajos. Hasta la fecha, no tenemos indicios de que se haya accedido a sus otros DM a ningún otro funcionario electo actual o anterior. [Agregado el 22 de julio de 2020]
Estamos trabajando activamente para comunicarnos directamente con los titulares de cuentas afectados.
Nuestros próximos pasos
A medida que avanzamos el fin de semana y la próxima semana, nos enfocamos en estos objetivos centrales:
- Restaurar el acceso para todos los propietarios de cuentas que aún pueden quedar bloqueados como resultado de nuestros esfuerzos de reparación.
- Continuando nuestra investigación del incidente y nuestra cooperación con la policía.
- Asegurando aún más nuestros sistemas para prevenir futuros ataques.
- Implementar capacitación adicional en toda la empresa para protegerse contra las tácticas de ingeniería social para complementar la capacitación que reciben los empleados durante la incorporación y los ejercicios de phishing en curso durante todo el año.
A pesar de todo esto, también comenzamos el largo trabajo de restablecer la confianza con las personas que usan y dependen de Twitter.
Somos muy conscientes de nuestras responsabilidades con las personas que utilizan nuestro servicio y con la sociedad en general. Estamos avergonzados, decepcionados, y más que nada, lo sentimos. Sabemos que debemos trabajar para recuperar su confianza, y apoyaremos todos los esfuerzos para llevar a los responsables ante la justicia. Esperamos que nuestra apertura y transparencia a lo largo de este proceso, y los pasos y el trabajo que tomaremos para protegernos contra otros ataques en el futuro, sean el comienzo de hacer esto bien.
Más por venir a través de @TwitterSupport mientras nuestra investigación continúa.
