Zprávy
Sophos: Pět důvodů pro 5 kroků na vaši ochranu na Twitteru
Dne 27. října 2022 převzal Elon Musk kontrolu nad Twitterem. Od té doby je tempo změn skutečně závratné. Situaci lze nyní označit v lepším případě za krajně nejistou, v horším za vyloženě chaotickou a potenciálně nebezpečnou.
V krátké době jsme byli svědky událostí, které rychle zpochybnily bezpečnost platformy Twitter a dat, která uchovává. Současně jsme svědky diskuse, zda bude Twitter v příštích měsících či týdnech vůbec existovat. Tváří v tvář v této pro tak významnou platformu bezprecedentní nejistotě a rizikům s ní spojeným je rozumné, aby uživatelé podnikli kroky k ochraně sebe a svých informací a dat na Twitteru. A vzhledem k mimořádně rychlému tempu událostí je rozumné jednat okamžitě.
Jinými slovy, je nejvyšší čas zaujmout „pozici připravenosti“ na případný krach Twitteru. Dělá to nyní mnoho odborníků na informační bezpečnost, a měl by to nyní udělat každý.
V současné době existuje pět hlavních oblastí, které vzbuzují obavy v souvislosti s bezpečností, ochranou soukromí a životaschopností Twitteru.
- Masivní, náhlý, neplánovaný a nestrukturovaný úbytek zaměstnanců
- Chaos a nejistota kolem ověřování účtů a boje proti dezinformacím
- Otázky, zda je Twitter schopen nebo dokonce ochoten dodržovat klíčové regulační požadavky na bezpečnost a ochranu osobních údajů
- Ekonomická životaschopnost Twitteru
- Řada náznaků, že současný chaos a nepředvídatelnost na všech úrovních bude pokračovat, nebo se dokonce zhorší
Podle zpráv v médiích a paradoxně i na Twitteru přišel Twitter během necelých čtyř týdnů o 50 až 80 % všech aktivních zaměstnanců. Tyto zprávy také naznačují, že k masivnímu úbytku zaměstnanců došlo neorganizovaně a chaoticky a že celé týmy v kritických oblastech, jako je bezpečnost, správa a ochrana soukromí, jsou personálně poddimenzované nebo zcela bez zaměstnanců. To samo o sobě představuje obrovské potenciální riziko pro uživatele Twitteru z pohledu bezpečnosti platformy a jejích dat. Jednoduše řečeno, může se stát, že nebude dostatek lidí (nebo nikdo), kteří by mohli a chtěli nadále chránit uživatele, systémy a jejich data před útočníky.
Rizika plynoucí z této situace jsou dvojího druhu. Zaprvé, útočníci mohou více využívat Twitter jako platformu pro cílení na uživatele za účelem šíření spamu, phishingu, podvodných a dalších útoků. Za druhé, útočníci mohou ohrozit a prolomit systémy za účelem shromažďování a krádeže dat.
Tato poslední obava je obzvláště znepokojivá, protože na platformě je mnoho potenciálně užitečných a citlivých informací. Například přímé zprávy na Twitteru nejsou na serverech šifrovány a víme, že novináři, aktivisté a další lidé používají přímé zprávy na Twitteru pro citlivou komunikaci již řadu let. Kdokoli, kdo bude mít přístup k systémům Twitteru, si tyto informace bude moci přečíst. Twitter uchovává mnoho velmi citlivých informací, o které mají zájem zločinci i aktéři z řad jednotlivých států. A nyní stojí mezi těmito zlými aktéry a velmi žádanými citlivými informacemi jen velmi malá bariéra.
Chaos a nejistota kolem ověřování účtů a boje proti dezinformacím jsou další významnou rizikovou oblastí, která se po Muskově převzetí dostala do popředí zájmu. Společnost Twitter zavedla (a poté přerušila) novou nabídku Twitter Blue, která by za 8 dolarů a bez skutečného ověření poskytla majitelům účtů stejnou modrou značku „Ověřeno“, která byla po léta používána k tomu, aby uživatelům Twitteru pomohla ověřit pravost populárních účtů. Způsobilo to dokonalou bouři zmatku a podvodné činnosti, která během několika dní téměř znemožnila rozlišit legitimní, parodující a podvodné účty. Ačkoli je tento postup v době psaní tohoto článku pozastaven, škoda byla napáchána a mechanismus ověřování důvěryhodnosti účtů na Twitteru je fakticky zničen.
Tento problém navíc umocňuje další problém – Twitter již léta bojuje proti šíření dezinformací na své platformě. Vzhledem k již zmíněným personálním problémům se zdá, že Twitter je v boji proti tomuto existujícímu problému nyní ve slabší pozici než v minulých letech. Přidejte k tomu téměř úplné zničení mechanismu „Ověřeno“ a získáte situaci, kdy se šíří dezinformace a pro uživatele je těžké až nemožné rozeznat, co je pravdivé a co falešné.
Další oblast, která vzbuzuje obavy, se týká schopnosti a ochoty společnosti Twitter dodržovat vládní regulační povinnosti, včetně povinností Federální obchodní komise Spojených států (FTC), obecného nařízení Evropské unie o ochraně osobních údajů (GDPR) a dalších. Již nyní se otevřeně pochybuje o tom, zda Twitter neporušuje nebo se nechystá porušit jak vyhlášku FTC, podle které je provozován, tak GDPR. Připomínky regulačních orgánů tyto otázky ještě přiživují.
Rizika spojená s touto situací jsou jednoduše neznámá, protože jsme dosud nezažili situaci, kdy by tak velká a důležitá platforma tak rychle přestala splňovat tak klíčové předpisy. Zatímco regulační orgány obvykle postupují velmi metodicky, povaha této situace napovídá, že bychom mohli být svědky velmi rozsáhlých a náhlých donucovacích opatření.
Podobné riziko představuje i finanční situace společnosti Twitter. Sám Musk naznačil, že Twitter je ve finanční tísni a příjmy zoufalé, což ještě umocňuje personální situace – obzvláště pozoruhodným příkladem jsou věrohodné zprávy, že Twitter již nemá k dispozici zaměstnance, kteří by dohlíželi na placení daní. To pak naráží na další aspekt obav z regulace, protože vlády mohou podniknout a také podnikají drastické kroky, když nejsou placeny daně.
Je zřejmé, že mezi regulační a finanční situací existuje řada rizikových faktorů, které by mohly vést k náhlému a neočekávanému zániku Twitteru. Na tole je tak otázka, zda by Twitter nebo přístup k němu mohl být náhle uzavřen některým z těchto regulačních orgánů nebo všemi těmito orgány.
Další klíčová otázka vyplývající z finanční situace společnosti Twitter je, co by se stalo s daty a systémy, v nichž jsou tato data uložena, pokud by společnost zkrachovala a dostala se do úpadku. Byly by v rámci likvidace prodány? Mohli by finanční přispěvatelé, mezi něž patří Saúdská Arábie a Katar, převzít vlastnictví a kontrolu nad daty a systémy Twitteru? Opět se nacházíme na nezmapovaném území, a tak odpověď zní, že prostě nevíme.
A konečně, což je možná nejdůležitější, současný stav věcí ve společnosti Twitter je chaotický. Rozhodnutí jsou přijímána bez velkého plánování a rychle se bez hlubšího rozmyslu ruší nebo mění. Twitter se mění nejen ze dne na den, ale i z hodiny na hodinu. To téměř znemožňuje vyhodnocování rizik. Vytváří to také prostředí, které silně zvýhodňuje aktéry hrozeb. Nejhorší je, že doslova nic nenasvědčuje tomu, že by se tento stav měl nějak pozitivně změnit, právě naopak.
Při všech těchto neznámých platí staré dobré pravidlo z oblasti bezpečnosti – předpokládat to nejhorší. Znamená to předpokládat, že se bezpečnost Twitteru výrazně sníží, stránka náhle a bez varování zmizí, a že se informace z účtů uživatelů dostanou do rukou lidí, u kterých to není žádoucí. S ohledem na to doporučujeme přijmout několik opatření, která pomohou uživatelům ochránit je samotné i jejich data. A protože existuje velmi reálné riziko, že v příštích dnech nebo týdnech ztratíme ke službě Twitter přístup, měli by uživatelé tyto kroky podniknout hned.
Cílem těchto kroků je zmírnit rizika pro uživatele a jejich data z hlediska zajištění bezpečnosti, soukromí a dostupnosti. Jedná se o kroky, které by měl podniknout každý, kdo kdy měl účet na Twitteru. I když nemáte v plánu tuto platformu používat, stále můžete čelit určitým rizikům spojeným s jejím předchozím používáním. Vzhledem k výše uvedeným rizikům a obavám, zda bude Twitter dostupný, by měli uživatelé tyto kroky podniknout okamžitě. Až se Twitter vypne, může být už pozdě.
- Zajistěte si vlastní kopii svých informací na Twitteru.
- Odstraňte ze služby Twitter všechny osobní a citlivé informace.
- Zabezpečte přístup ke svému účtu na Twitteru.
- Zabezpečte svou přítomnost na Twitteru.
- Předpokládejte, že všichni, kdo jsou na Twitteru, lžou o tom, kdo jsou a co říkají, dokud nezávisle ověříte informace.
Jednou z prvních věcí, kterou byste měli udělat, je zmírnit riziko, že zmizí všechny informace, které máte na Twitteru a na kterých vám záleží. Pokud Twitter přestane být dostupný z důvodu zásahu vlády nebo věřitelů, všechny informace, které tam máte a na kterých vám záleží, mohou bez varování zmizet. V době vzniku tohoto článku má Twitter možnost stáhnout data uživatelů – pokud nechcete, aby tato data zmizela navždy, udělejte si vlastní kopii. Podle zpráv trvá vyřízení žádostí o data několik dní a na základě zhoršující se personální situace a pravděpodobnosti, že o to bude žádat stále více lidí, je velmi důležité, abyste tento krok udělali okamžitě.
Jak bylo nastíněno výše, jedním z největších rizik je, že veškeré osobní nebo citlivé údaje, které máte na Twitteru, skončí v rukou kyberzločinců, aktérů z řad států, jiných škodlivých stran nebo všech výše uvedených. Ačkoli únik dat je na internetu stálým rizikem, u společnosti Twitter jsou tato rizika nyní výrazně vyšší kvůli špatné personální situaci a otázkám ohledně ekonomické životaschopnosti. V tuto chvíli je nejlepší ochranou odstranění co největšího množství osobních a citlivých údajů, jako jsou datum narození, telefonní čísla, platební údaje, informace o zeměpisné poloze a další informace, které by samy o sobě nebo v kombinaci s jinými informacemi mohly být nebezpečné pro vás, vaši rodinu nebo osoby, na kterých vám záleží. Také citlivé informace ve Zprávách nebo v Tweetech, o kterých jste se domnívali, že jsou chráněné (tj. neveřejné), jsou v ohrožení. Obecně je v tuto chvíli vhodné vážně uvažovat o smazání všech Tweetů, Líbí se mi, Zpráv a multimediálních sdělení. Než to však uděláte, měli byste se ujistit, že jste si stáhli všechny kopie dat, které chcete uchovat.
Udržet přístup k účtu Twitter v bezpečí bylo vždy důležité, ale nyní je to ještě důležitější. S ohledem na kritickou personální situaci totiž týmy Twitteru nebudou schopny bojovat proti zneužití účtů ani pomáhat s obnovou zneužitých účtů tak, jako tomu bylo v minulosti. Znamená to, že byste rozhodně měli používat jedinečné heslo pouze pro svůj účet na Twitteru. Pokud jste tedy heslo k účtu Twitteru používali opakovaně i jinde, nastavte si jedinečné heslo pro Twitter a změňte všechny ostatní případy, kdy jste toto heslo dříve opakovaně používali. Měli byste také povolit vícefaktorové ověřování pomocí aplikace nebo bezpečnostního klíče, protože jak už bylo řečeno, není bezpečné ukládat u Twitteru své telefonní číslo. Měli byste také odpojit všechny aplikace, které jsou připojeny k vašemu účtu Twitter, a připojovat účty pouze v případě potřeby a po dokončení je odpojit. Měli byste odhlásit i všechny ostatní relace. Všechny tyto kroky vám umožní mít váš účet na Twitteru pod kontrolou.
Kromě zabezpečení přístupu k účtu byste měli zabezpečit i účet samotný. Pokud plánujete zůstat na Twitteru aktivní, měli byste vážně uvažovat o uzamčení účtu. Jednak tím získáte možnost kontrolovat, kdo může vidět vaše příspěvky a komunikovat s vámi, a druhak vám to může pomoci s další oblastí, která v důsledku zhoršujícího se personálního zajištění vzbuzuje obavy a kterou je zvýšený výskyt obtěžování a výhružného chování. Naopak pokud neplánujete zůstat na Twitteru aktivní, můžete svůj účet deaktivovat. Neměli byste ho však mazat, protože odstranění účtu může uvolnit vaši přezdívku pro někoho jiného, kdo se za vás bude vydávat, což zhorší již tak obtížnou situaci související s podvodníky a dezinformacemi.
Poslední důležitou věcí, kterou je třeba udělat, je změnit přístup k platformě jako takové, k lidem na Twitteru a k tomu, co říkají. Jednoduše řečeno, nevěřte nikomu, že je tím, za koho se vydává, nebo tomu, co říká, aniž byste nezávisle ověřili jeho totožnost a informace. Pokud se například zdá, že účet zastupuje jednotlivce nebo organizaci, vyhledejte jiný ověřitelný zdroj toho, co říká, například webové stránky chráněné protokolem SSL, jejichž digitální certifikát můžete ověřit. Zejména si dávejte pozor na ověřování účtů na Twitteru pomocí jiných účtů na Twitteru – již jsme se setkali s tím, že se více falešných účtů snaží vytvořit iluzi legitimity vzájemným ověřováním. Skutečnost je taková, že rozlišit pravdu od lži je na Twitteru nyní mnohem těžší než ještě před několika týdny.
Faktem je, že jsme ještě nikdy předtím nečelili situaci, kdy by stránka takového společenského, politického a ekonomického významu, jako je Twitter, zažila tak rychlý masivní rozpad na tolika úrovních. V důsledku toho je těžké odhadnout, co přesně se stane, a co bychom tedy měli dělat. To, co lze ve světě informační bezpečnosti říci, je, že není čas na paniku, ale je čas na rychlé a rozhodné kroky ke zmírnění velmi reálné možnosti, že se naplní některé nebo dokonce všechny tyto nejhorší scénáře. Po dočtení tohoto článku byste měli okamžitě začít realizovat zde nastíněná doporučení. Je to jednoduché.
Christopher Budd, senior manažer pro výzkum hrozeb ve společnosti Sophos