O que você precisa aprender com o escândalo de espionagem de ex-funcionários do Twitter

Uma notícia bombástica estremeceu a comunidade de segurança da informação na semana passada, quando o Departamento de Justiça dos Estados Unidos anunciou acusações contra dois funcionários do Twitter, Ahmad Abouammo e Ali Alzabarah, por supostamente atuarem como agentes para o governo da Arábia Saudita.

A denúncia alega que os dois homens usaram a sua capacidade de acessar dados dos usuários da rede social para fornecer às autoridades sauditas informações privadas sobre mais de 6 mil usuários do Twitter.

Abouammo, que era gerente de parcerias de mídia no Twitter, é cidadão norte-americano. Alzabarah, que era engenheiro de confiabilidade da companhia, é cidadão saudita, bem como uma terceira pessoa, que atuou como intermediária no roubo, Ahmed Almutairi.

Os dois ex-funcionários do Twitter tiveram acesso a informações confidenciais dos usuários da plataforma, incluindo os endereços de email, datas de nascimento, números de telefone e endereços de IP. Segundo a denúncia, Alzabarah, que extraiu dados de quatro usuários específicos a pedido dos sauditas, também teve acesso a informações biográficas, logs que continham informações do navegador dos usuários e um log de todas as suas interações.

De acordo com as informações publicadas, os ex-funcionários da rede social acessaram os dados confidenciais mesmo que nenhuma das suas atividades profissionais exigisse essa prática. Em contrapartida, o Twitter afirma que aprimorou os seus controles e permissões em 2015 para restringir o acesso aos dados dos usuários apenas àqueles cujas funções necessitassem.

Violação levanta questões

A situação envolvendo funcionários que atuam como espiões em nome de autoridades do governo despertou a atenção de especialistas em segurança cibernética. Para Mike Chapple, diretor sênior de TI e professor associado da Universidade de Notre Dame, o caso fez levantar duas questões importantes. Primeiro, “por que os funcionários que não tinham nada a ver com interações com usuários tiveram acesso aos sistemas que contêm essas informações?”, questiona. “Qualquer pessoa que esteja na cibersegurança há algum tempo sabe que existe esse princípio de ‘menos privilégio’ que adotamos há décadas. Diz que as pessoas devem ter apenas o acesso necessário para realizar seu trabalho.”

“Nesse caso, com um dos funcionários sendo uma pessoa de relações com a mídia e o outro como um engenheiro de confiabilidade do local, não há razão real imaginável para que algum deles precise desse acesso”, acrescenta o especialista.

“Se o Twitter tivesse controlado rigidamente o número e os tipos de funcionários que tinham acesso às informações, seria muito mais difícil, então, para as agências de inteligência estrangeiras visarem alguém com esse acesso.”

Em segundo lugar, “não é de surpreender que esse tipo de coisa aconteça em uma empresa de tecnologia, porque o caminho mais fácil a seguir quando se trata de controle de acesso é apenas permitir que um grande número de pessoas acesse o máximo de informações possível”, observa Chapple.

Padrão ouro de cibersegurança

A noção de “menor acesso” é consagrada em uma série de estruturas de segurança cibernética e desempenha um papel de destaque na estrutura padrão-ouro, lançada pela primeira vez pelo Instituto Nacional de Padrões e Tecnologia em 2014 – e atualizado desde então.

Uma das principais funções do controle de acesso dentre as várias funções incorporadas na estrutura diz que um dos principais resultados desejados das práticas de proteção à segurança cibernética é garantir que “as permissões de acesso sejam gerenciadas, incorporando os princípios de menor privilégio e separação de tarefas”.

Outro incidente de alto nível envolvendo violações do princípio de acesso mínimo sugere que o problema pode ser mais comum que o imaginado. Em 2014, surgiram notícias de que o software “God View” da Uber permitia que muitos funcionários rastreassem a localização em tempo real de passageiros, incluindo políticos, celebridades e até mesmo namoradas de funcionários.

Em 2017, a Uber teve que resolver uma reclamação da Federal Trade Commission sobre a sua política de acesso, concordando com duas décadas de auditorias de privacidade e segurança. “As pessoas reagiram negativamente e a Uber bloqueou esse acesso para pessoas que não precisavam usá-lo”, diz Chapple.

Como a Uber, “as organizações que experimentam violações provavelmente concordariam que o custo de remediar uma violação em termos de reputação provavelmente superaria em muito o que seria gasto para implementar os controles de segurança necessários.”

A violação interna do Twitter mudará a forma como as empresas concedem acesso aos dados? Apesar das consequências do caso da Uber, as empresas parecem ter menos acesso restrito. “Eu acho que um exemplo aqui com os sauditas se intrometendo no Twitter será a primeira de muitas histórias que vão inaugurar uma nova era”, afirma Bryson Bort, fundador e CEO da empresa de segurança cibernética Scythe.

“A ameaça interna é perniciosa. É difícil vê-la. É uma espécie de traição”, acrescenta Bort. “Eu confio inerentemente nas pessoas a quem pago salários e que usam meu logotipo na camiseta. Nós, como seres humanos, confiamos nas pessoas que fazem parte de nossa equipe.” Além disso, é preciso muito planejamento e trabalho contínuo para estabelecer esquemas de autorização de acesso efetivos.

“Você está restringindo o trabalho das pessoas, o que exige uma consideração cuidadosa, porque se você o restringir demais, poderá realmente impedir que alguém faça seu trabalho”, observa Bort. “Ninguém quer afetar as operações.”

Para enfrentar o desafio de estabelecer políticas de acesso mais sofisticadas, comece pelos sistemas mais sensíveis da organização, aconselha Chapple. “Se você pensar sobre isso da perspectiva de alguém de fora que esteja interessado em ganhos econômicos e informações financeiras, ou mesmo que esteja envolvido em alguma forma de espionagem, comece com os sistemas que seriam de maior interesse para essas pessoas.”

Bort acredita que, mesmo antes de as organizações começarem a pensar em proteger ativos valiosos ou estrategicamente importantes, elas precisam começar pela base, fazendo inventários de ativos reais. “Quantas empresas conhecem todos os seus ativos? Se nem eu sei quais são as ferramentas que estão criando e computando dados, como vou começar a mexer neles?”