“Twitter a apparemment négligé la sécurité pendant très longtemps, et avec tous les changements, il y a un risque à coup sûr”, déclare David Kennedy, PDG de la société de réponse aux incidents TrustedSec, qui travaillait auparavant à la NSA et au Corps des Marines des États-Unis. unité de renseignement sur les transmissions. «Il y a beaucoup de travail à faire pour stabiliser et sécuriser la plate-forme, et il y a certainement un risque élevé du point de vue d’un initié malveillant en raison de tous les changements qui se produisent. Au fil du temps, la probabilité d’un incident diminue, mais les risques de sécurité et la dette technologique sont toujours là.
Une violation de Twitter pourrait exposer l’entreprise ou les utilisateurs de multiples façons. Un incident mettant en danger des utilisateurs qui sont des militants, des dissidents ou des journalistes sous un régime répressif serait particulièrement préoccupant. Avec plus de 230 millions d’utilisateurs, une violation de Twitter aurait également des conséquences potentielles considérables en matière d’usurpation d’identité, de harcèlement et d’autres préjudices pour les utilisateurs du monde entier. Et du point de vue du renseignement gouvernemental, les données se sont déjà révélées suffisamment précieuses au fil des ans pour motiver les espions du gouvernement à infiltrer l’entreprise, une menace que le dénonciateur Zatko a déclaré que Twitter n’était pas prêt à contrer.
La société faisait déjà l’objet d’un examen minutieux de la part de la Federal Trade Commission des États-Unis pour ses pratiques passées, et jeudi, sept sénateurs démocrates ont appelé la FTC à enquêter pour savoir si les “changements signalés aux examens internes et aux pratiques de sécurité des données” sur Twitter violaient les termes d’un accord de 2011. entre Twitter et la FTC sur la mauvaise gestion des données passées.
Si une violation se produisait, les détails dicteraient bien sûr les conséquences pour les utilisateurs, Twitter et Musk. Mais le milliardaire au franc-parler voudra peut-être noter que, fin octobre, la FTC a émis une ordonnance contre le service de livraison en ligne Drizly ainsi que des sanctions personnelles contre son PDG, James Cory Rellas, après que la société a exposé les données d’environ 2,5 millions d’utilisateurs. . L’ordonnance oblige l’entreprise à avoir des politiques plus strictes sur la suppression des informations et à minimiser la collecte et la conservation des données, tout en exigeant la même chose de Cory Rellas dans toutes les futures entreprises pour lesquelles il travaille.
Parlant largement du paysage actuel des menaces à la sécurité numérique lors du Aspen Cyber Summit à New York mercredi, Rob Silvers, sous-secrétaire à la politique au Département de la sécurité intérieure, a exhorté les entreprises et autres organisations à la vigilance. « Je ne serais pas trop complaisant. Nous voyons suffisamment de tentatives d’intrusion et d’intrusions réussies chaque jour pour que nous ne baissions même pas un peu notre garde », a-t-il déclaré. “La défense compte, la résilience compte dans cet espace.”
Dan Tentler, fondateur de la société de simulation d’attaques et de remédiation Phobos Group qui a travaillé dans la sécurité de Twitter de 2011 à 2012, souligne que si le chaos actuel et le manque de personnel au sein de l’entreprise créent des risques potentiels pressants, cela pourrait également poser des défis aux attaquants qui pourraient ont du mal en ce moment à cartographier l’organisation pour cibler les employés qui ont probablement un accès ou un contrôle stratégique au sein de l’entreprise. Il ajoute, cependant, que les enjeux sont élevés en raison de l’échelle et de la portée de Twitter dans le monde entier.
“S’il reste des initiés sur Twitter ou si quelqu’un viole Twitter, il n’y a probablement pas grand-chose qui les empêche de faire ce qu’ils veulent – vous avez un environnement où il ne reste peut-être pas beaucoup de défenseurs”, dit-il.
