Una actualización sobre el incidente de seguridad

sábado, 18 julio 2020

Última actualización el 30 de julio de 2020, a las 5:45 p.m. PT con las nuevas secciones sobre “Lo que sabemos ahora” y “Lo que estamos haciendo para proteger nuestro servicio”.

======================================================

30 de julio, 2020

Mientras nuestra investigación continúa, compartimos una actualización para responder algunas de las preguntas que faltaban, con base en lo que hemos descubierto hasta el momento. Proporcionaremos un informe técnico más detallado sobre lo que en días pasados ocurrió de acuerdo con la investigación en curso conforme a la ley y después de haber completado el trabajo para proteger aún más nuestro servicio.

Lo que sabemos ahora

La ingeniería social que ocurrió el 15 de julio de 2020, apuntó a un pequeño número de empleados a través de un ataque telefónico de phishing. El éxito del ataque requirió que los atacantes obtuvieran acceso tanto a nuestra red interna como a credenciales específicas de los empleados que les brindaron acceso a nuestras herramientas de soporte interno. No todos los empleados que fueron inicialmente blanco de este ataque, tenían permisos para usar herramientas de administración de cuentas, pero los atacantes utilizaron sus credenciales para acceder a nuestros sistemas internos y obtener información sobre nuestros procesos. Este conocimiento les permitió dirigirse a otros empleados que sí tenían acceso a nuestras herramientas de soporte de cuentas. Utilizando las credenciales de los empleados con acceso a estas herramientas, los atacantes eligieron como blanco a 130 cuentas de Twitter,  finalmente lograron enviar Tweets desde 45, accedieron a los DMs de 36 y descargaron los datos de Twitter de 7 cuentas.

Ha habido preocupación, tras el incidente, sobre nuestras herramientas y los niveles de acceso de los empleados. Para el funcionamiento de nuestro negocio, tenemos equipos en todo el mundo que ayudan con el soporte de cuentas. Nuestros equipos utilizan herramientas patentadas para ayudar con diferentes problemas de soporte, así como para revisar el contenido de acuerdo con las Reglas de Twitter y dar respuesta a los informes. El acceso a estas herramientas es estrictamente limitado y solo se otorga por razones justificadas. Tenemos cero tolerancia con el uso indebido de credenciales o herramientas, monitoreamos activamente cualquier mal uso, auditamos regularmente los permisos y tomamos acciones inmediatas si alguien accede a la información de la cuenta sin una razón comercial autorizada. Si bien estas herramientas, controles y procesos se actualizan y mejoran constantemente, estamos analizando detenidamente cómo podemos hacerlos aún más sofisticados.

Este ataque se basó en un intento significativo y organizado para engañar a algunos de nuestros empleados y tomar ventaja de las vulnerabilidades humanas con el fin de obtener acceso a nuestros sistemas internos. Este fue un impactante recordatorio de lo importante que es cada persona de nuestro equipo para proteger nuestro servicio. Tomamos esta responsabilidad con seriedad y todos en Twitter nos comprometemos a mantener tu información segura.

Nos hemos comunicado directamente con los propietarios de las cuentas afectadas y trabajamos para restaurar el acceso a cualquier cuenta que pudo haber sido bloqueada temporalmente durante nuestros esfuerzos de remediaciones. Nuestra investigación sigue en curso y estamos trabajando con las autoridades correspondientes para garantizar que se identifique a las personas responsables de este ataque.

Lo que estamos haciendo para proteger nuestro servicio

Desde el ataque, hemos limitado significativamente el acceso a nuestras herramientas y sistemas internos, para garantizar una seguridad ininterrumpida de las cuentas mientras concluye nuestra investigación. Como resultado, algunas funciones (en concreto, acceder a la función de descarga de Tus datos de Twitter) y algunos procesos se han visto afectados. Responderemos de manera retardada, requerimientos de soporte de cuentas, reportes de Tweets y aplicaciones de nuestra plataforma de desarrolladores. Lamentamos los retrasos que esto pueda ocasionar, pero creemos que es una precaución necesaria mientras realizamos ajustes más fuertes en nuestros procesos y herramientas, debido a este incidente. Gradualmente reanudaremos y normalizaremos nuestros tiempos de respuesta, cuando sepamos que es seguro hacerlo. Gracias por tu paciencia mientras trabajamos en ello.

Siempre estamos invirtiendo en incrementar nuestros protocolos, técnicas y mecanismos de seguridad - así es como trabajamos para hacer frente a las amenazas a medida que evolucionan. De ahora en adelante, estaremos acelerando la seguridad de nuestro flujo de trabajo ya existente y en las mejoras de nuestras herramientas. También estamos mejorando nuestros métodos para detectar y prevenir el acceso inapropiado a nuestros sistemas internos y priorizando el trabajo de seguridad en muchos de nuestros equipos. Continuaremos organizando constantes ejercicios sobre phishing en toda la empresa durante todo el año.

Asimismo, continuaremos compartiendo actualizaciones y las medidas preventivas que tomamos para que otros también puedan aprender de esto. Reconocemos la confianza que has depositado en nosotros y nos comprometemos a mantenerla a través de actualizaciones continuas, abiertas, honestas y oportunas cada vez que ocurra un incidente como este.

======================================================

18 de julio, 2020

Como hemos informado a través de la cuenta de @TwitterSupport, el miércoles 15 de julio de 2020, detectamos un incidente de seguridad en Twitter y tomamos acción inmediata. Ahora, queremos compartir una visión general de dónde estamos.

Esta publicación resume la situación a partir del 17 de julio a las 8:35pm, hora del Pacífico. La información que aquí comunicamos es lo que sabemos hasta ahora y puede cambiar ya que las investigaciones internas y externas, continúan. Asimismo, a medida que la investigación se desarrolla, hay algunos detalles - en especial sobre remediación-  que no compartiremos en este punto, con el fin de proteger la seguridad de nuestros esfuerzos. Brindaremos detalles más adelante, a medida que nos sea posible, para que lo que ocurrió sirva como aprendizaje para beneficio de la comunidad y nuestros colegas.

Qué pasó

En este momento, creemos que los atacantes eligieron como blanco a ciertos empleados de Twitter a través de un esquema de ingeniería social. ¿Qué significa esto? En este contexto, la ingeniería social es  la manipulación intencional de personas, para que ejecuten ciertas acciones y divulguen información confidencial. 

Los atacantes manipularon con éxito a un equipo reducido de empleados y utilizaron sus credenciales para tener acceso a los sistemas internos de Twitter, incluyendo superar nuestra protección de dos factores. Por ahora, sabemos que accedieron a herramientas que están únicamente disponibles para nuestros equipos internos de soporte, eligiendo como blanco 130 cuentas de Twitter. Para 45 de esas cuentas, los atacantes lograron iniciar el restablecimiento de contraseña, iniciar sesión a la cuenta, y enviar Tweets. Continuamos con nuestra revisión forense de todas las cuentas, para confirmar todas las acciones que pudieron haberse llevado a cabo. Adicional a esto, creemos que pudieron intentar vender algunos de los nombres de usuarios. 

Hasta con 8 cuentas de Twitter involucradas, los atacantes tomaron un paso adicional y descargaron la información de la cuenta a través de la herramienta "Tus Datos de Twitter". Esta herramienta tiene como objetivo brindar al propietario de la cuenta un resumen de los detalles de esta y su actividad en Twitter. Nos estamos comunicando directamente  con cualquier propietario de cuenta donde sabemos que esto es cierto.

Nuestras acciones

Nos dimos cuenta de las acciones de los atacantes el miércoles, y nos movimos rápidamente para bloquear y retomar el control de las cuentas afectadas. Nuestro equipo de respuesta a incidentes aseguró y revocó los accesos a los sistemas internos para evitar que los atacantes accedieran más a nuestros sistemas, o a cuentas individuales. Como se mencionó antes, estamos deliberadamente limitando los detalles que compartimos sobre nuestras acciones de remediación para proteger su efectividad; en un futuro, cuando sea posible, daremos más detalles técnicos.

Además de nuestros esfuerzos tras bambalinas, poco después de darnos cuenta de la situación, tomamos medidas preventivas para restringir la funcionalidad de muchas cuentas en Twitter - incluyendo acciones como prevenir que Twittearan o  cambiaran contraseñas. Hicimos esto para prevenir que los atacantes pudieran continuar con su estafa así como para evitar que pudieran tomar el control de más cuentas, al tiempo que investigábamos. Para extremar precauciones, también deshabilitamos cuentas cuyas contraseñas habían sido cambiadas recientemente. Más tarde ese mismo miércoles, logramos regresar las funcionalidad de Twittear a muchas cuentas y al día de hoy, hemos restablecido la mayoría de las cuentas bloqueadas, en espera del cambio de contraseña por sus propietarios.

Continuaremos nuestra investigación sobre el incidente, trabajando con la aplicación de la ley, y determinaremos acciones de largo plazo que debemos tomar para mejorar la seguridad de nuestros sistemas. Tenemos a distintos equipos trabajando permanentemente, enfocados en ello y en mantener seguras e informadas, a todas las personas que usan Twitter. 

A qué accedieron los atacantes

La pregunta más importante para las personas que usan Twitter  probablemente es: ¿los atacantes vieron algo de mi información privada? Para la gran mayoría de las personas, creemos que la respuesta es no. Para las 130 cuentas que fueron atacadas, esto es lo que sabemos a partir de hoy.

  • Los atacantes no pudieron ver contraseñas anteriores, ya que no están almacenadas en texto plano, ni disponibles en las herramientas usadas en el ataque.
  • Los atacantes pudieron ver información personal, incluyendo direcciones de correo electrónico y números de teléfono, que se muestran a algunos agentes de nuestras herramientas internas de soporte.
  • En los casos en que una cuenta fue controlada por el atacante, es posible que hayan podido ver información adicional. Nuestra investigación forense de estas actividades aún está en curso.

Estamos trabajando activamente en comunicarnos directamente con los propietarios de las cuentas afectadas.

Nuestros próximos pasos

A medida que avanzan los días, nos enfocaremos en estos objetivos centrales:

  1. Restaurar el acceso para todos los propietarios de cuentas que aún pueden estar bloqueados, como resultado de nuestros esfuerzos de remediación.
  2. Continuar nuestra investigación del incidente y nuestra cooperación con la aplicación de la ley.
  3. Reforzar aún más la seguridad de nuestros sistemas, para prevenir futuros ataques.
  4. Implementar capacitación adicional para toda la empresa, para protegernos contra las tácticas de ingeniería social a fin de complementar la capacitación que reciben los empleados durante su ingreso a la compañía y los simulacros de phishing durante todo el año.

A pesar de todo esto, también comenzamos el arduo trabajo de restablecer la confianza con las personas que usan y dependen de Twitter.

Somos muy conscientes de nuestras responsabilidades hacia las personas que utilizan nuestro servicio y la sociedad en general. Estamos avergonzados, decepcionados, y sobre todo, lo sentimos mucho. Sabemos que debemos trabajar duro para recuperar su confianza, y apoyaremos todos los esfuerzos para llevar a los responsables ante la justicia. Esperamos que nuestra apertura y transparencia a lo largo de este proceso, así como los pasos y el trabajo que tomaremos para protegernos en contra de otros ataques en el futuro, sean el comienzo para enmendar esta situación.

Mientras nuestra investigación continúa, seguiremos informando en nuestra cuenta  @TwitterSupport @TwitterSeguro.

Este Tweet no está disponible
Este Tweet no está disponible.
Este Tweet no está disponible.