Dorsey & Co eran conscientes de los problemas de seguridad con los usuarios de Twitter desde 2015

Varios empleados en Twitter supuestamente tienen la capacidad de restablecer las cuentas de los usuarios y modificar su configuración de seguridad. Este es un problema del que se advirtió a Jack Dorsey, director ejecutivo y al consejo de administración de la compañía en todo el año 2015.

Según Bloomberg, Twitter tiene más de 1,500 trabajadores con la capacidad de restablecer cuentas y revisar las infracciones de los usuarios. Esto llevó a especular que el ataque el 15 de julio podría haberse evitado si se tomaran medidas más oportunas.

Problemas de seguridad abordados

El informe aclaró que tales credenciales daban acceso limitado a la mayoría de los trabajadores involucrados en el departamento de seguridad de la red social. Sin embargo, señalan que es «un punto de partida para espiar o incluso hackear una cuenta».

La sección «Factores de riesgo» del informe anual 10-K de Twitter, presentado en 2015 ante la Comisión de Bolsa de Valores (SEC), confirma que Dorsey & Co. había sido advertida durante mucho tiempo de este potencial vector de ataque:

“Nuestras medidas de seguridad también pueden incumplirse debido a errores de los empleados, malversaciones u otros. Además, las partes externas pueden intentar inducir de manera fraudulenta a los empleados, usuarios o anunciantes a revelar información confidencial para obtener acceso a nuestros datos o las cuentas o datos de nuestros usuarios o anunciantes, o pueden obtener acceso a dichos datos o cuentas».

Los contratistas de Twitter probaron problemas en 2017

Bloomberg menciona que en un momento en 2017 y 2018, los contratistas de Twitter crearon un «juego» que consistía en inundar la mesa de ayuda con consultas falsas, permitiéndoles acceder a las cuentas de las celebridades. Utilizaron este acceso para rastrear datos personales y ubicaciones aproximadas basadas en las direcciones IP del propietario.

El informe anual 10-K 2020 de Twitter, presentado ante la SEC, se refería al acceso de «partes no autorizadas»:

«Las partes no autorizadas también pueden obtener acceso a los identificadores y contraseñas de Twitter sin atacar a Twitter directamente y, en cambio, acceder a las cuentas de las personas mediante el uso de información de credenciales de otras infracciones recientes, el uso de malware en las máquinas víctimas que están robando contraseñas para todos los sitios, o una combinación de ambos».

El reciente ataque de Twitter consistió en la publicación de un falso regalo de Bitcoin (BTC) a través de las cuentas de algunas de las cuentas verificadas más poderosas del mundo. Estos incluyeron a Joe Biden, Elon Musk, George Wallace, Bill Gates, Kanye West, Kim Kardashian, Wiz Khalifa, Warren Buffett, Mike Bloomberg, Barack Obama y Jeff Bezos, entre otros.

Sigue leyendo: