Mudanças no Twitter e o Blue Check: quais os riscos e como se proteger

Após semanas de paralisação, o Twitter Blue Program voltaria a ativa em 29 de novembro, mas foi adiado novamente pela rede social. Você sabe o que essa e outras mudanças na empresa significam para o seu negócio?

Fundado em 2006, o Twitter foi uma das primeiras plataformas de mídias sociais a ser realmente internacional, sendo popular em quase todos os grandes países do mundo. O Twitter já foi alvo de críticas, louvores e, em seu auge, muitos estudiosos e fãs o chamam de a nova praça pública, onde as discussões mais relevantes acontecem e os virais surgem antes de se espalhar pelos quatro cantos da internet.

Mesmo com todo esse poder e influência, o Twitter — enquanto empresa — vem sofrendo há anos. Até junho deste ano, a dívida líquida da empresa ultrapassou meio bilhão de dólares. Somando esse número aos $22 bilhões que a empresa deve a uma miscelânia de bancos e head funds, a dívida tem levado jornais como o The Wall Street Journal a acreditarem que há uma probabilidade do Twitter declarar falência.

O cenário de crise na empresa inevitavelmente teve consequências para a área da cibersegurança, que merece atenção redobrada para problemas novos — e para os nem tão novos assim.

O histórico de Segurança do Twitter

Meses antes da finalização da compra do Twitter por Elon Musk, o ex-chefe de segurança do Twitter, Peiter "Mudge" Zatko, delatou para o congresso americano que a plataforma possuía graves falhas de segurança e em seu sistema anti-fraude. Nas palavras de Zatko, o Twitter “estava mais de uma década atrasado nos padrões de segurança do mercado” quando ele começou a trabalhar na empresa.

Entre os problemas apontados pelo ex-chefe de segurança do Twitter está a proteção de dados dos usuários. Para ele, uma grande quantidade de engenheiros tinham acesso aos dados dos usuários, o que pode gerar casos como vimos na Meta, empresa de Zuckerberg, em que funcionários sequestraram contas de usuários e cobraram subornos.

Em sua delação, Zatko acusa que o Twitter não está ciente de todas as partes do seu sistema que armazenam os dados de seus usuários, então, segundo o delator, mesmo que o Twitter fosse ordenado a deletar estes dados de seu sistema, eles não seriam capazes.

Essa não é a primeira vez que a plataforma recebe esse tipo de crítica. Ainda este ano, o Federal Trade Commission (FTC), regulador federal americano, disse que a empresa descumpriu um acordo que ditava como ela deveria lidar com os dados dos usuários. O Twitter negou todas as alegações de Zatko.

A delação foi usada pelo empresário Elon Musk no processo de compra do Twitter, junto de várias alegações de invasões hackers, como foi o caso de Graham Ivan Clark, que hackeou a conta do atual presidente americano Joe Biden, da Apple e do próprio Elon Musk, para solicitar mais de $100 mil dólares em Bitcoin.

Com as mudanças na gestão, no algoritmo e no quadro de funcionários do Twitter, que sofreu um corte de 70%, o momento acende um alerta para os riscos de cibersegurança e os desafios para a nova administração de Musk.

O CEO da Tesla assumiu o Twitter em um cenário de instabilidade, não só por conta das dívidas da empresa e dos problemas antigos, mas também por conta do momento nada favorável de mercado. Uma mudança no comportamento de fundos de investimento e bancos fechou a torneira para os investimentos às empresas de tecnologia, muito similar ao estouro da bolha do “.com”. Com essa mudança, empresas como a Meta, Uber, entre outras, estão demitindo funcionários e cortando gastos.

No caso do Twitter, Musk pediu vários empréstimos para realizar sua compra, pagando um preço muito superior ao que a empresa realmente vale, agravando as dívidas. Além disso, suas ligações com a China e a Arábia Saudita colocaram a empresa na mira dos órgãos de segurança nacional dos EUA.

Dado todo esse contexto, várias novas ameaças à segurança da empresa surgiram. Apesar do pouco tempo de casa, o Twitter já perdeu o chief information security officer (CISO), chief privacy officer, data protection officer e compliance officer nos últimos meses.

Recentemente, o déficit de funcionários levou a uma notável demora na resposta a um defeito na autenticação de dois fatores via SMS.

Até os sistemas de copyright e takedown automático do Twitter parecem ter sido afetados. Uma reportagem da Forbes revelou que filmes foram postados por inteiro no Twitter, divididos em clipes de 2:00 minutos. A reportagem acompanhou esses posts por alguns dias, e em nenhum momento os filmes foram derrubados. As páginas foram retiradas do ar, mas os conteúdos continuam acessáveis para usuários que favoritaram o post. Por isso, é vital que empresas que trabalham com audiovisual monitorem seus produtos contra pirataria digital.

O processo de remoção de conteúdo indevido foi afetado pelas mudanças no Twitter, levando o departamento a contabilizar uma longa fila de solicitações de takedown a serem concluídas. Apesar disso, as equipes especializadas da Axur continuam em contato com a plataforma, monitorando riscos e fraudes e atualizando os clientes a cada minuto sobre as atualizações na gestão de ameaças.

Entre os problemas, o que mais chamou a atenção para os riscos digitais que podem afetar as empresas foi o lançamento do Blue Program.

O Twitter Blue Program é o sistema de aluguel do selo de verificação, a principal forma de permitir que os usuários façam a distinção de uma conta verdadeira — seja de uma empresa, de famosos ou instituições — de uma conta falsa usando logotipos clonados e nomes similares.

O programa também traz benefícios como a promessa de que contas que aderirem ao sistema de pagamento poderão postar vídeos de até 40 minutos na rede social. Com esse novo programa, alguns usuários se aproveitaram para criar perfis falsos tanto para fins de humor, quanto para protestar contra ações de pessoas e instituições.
O caso mais famoso é o da empresa Eli Lilly. Um perfil falso imitando a farmacêutica escreveu: “Temos o prazer de anunciar que a insulina agora é gratuita”.

A tweet claiming to be by Eli Lilly and Company says: "We are excited to announce insulin is free now."

Temos o prazer de anunciar que a insulina agora é gratuita

Após o ocorrido, a Eli Lilly, que vinha crescendo na bolsa de valores, sofreu uma queda no valor de mercado na casa dos bilhões de dólares. E este foi só um dentre os muitos casos registrados após a implementação do Blue Program, que afetou até as empresas de Elon Musk:

FhQGrVvWAAARaGA-1

Honestamente, a queda de 53% no preço das ações não nos afeta. Se tem alguém que sabe sobre quebrar somos nós

Mas, esses riscos transcendem problemas financeiros ou danos temporários à marca. Eles podem ser usados para afastar seus clientes da sua empresa, desviando-os da jornada de compra. O Twitter Blue é a ferramenta perfeita para um cibercriminoso legitimar uma conta falsa ou phishing.

sasasasas

Perfil falso e verdadeiro de Musk, respectivamente

Um caso de phishing que ficou famoso foi o uso de um perfil falso da Rockstar Games para espalhar um link suspeito pela plataforma. O engenheiro e Youtuber, Barnacules Nerdgasm, fez a descoberta:

Here we go again, another verified impersonation account this time for @RockstarGames 🤦‍♂️ Keep in mind that @elonmusk was warned this would happen & people like @theh3podcast even proved it by impersonating Elon himself & intercepting thousands of DM's meant for him! TURN THIS OFF pic.twitter.com/XhRKqJul1K
— Barnacules Nerdgasm ⭐️ Real Pre-Elon Checkmark ⭐️ (@Barnacules) November 10, 2022

Aqui vamos nós de novo, outro perfil falso verificado desta vez da @RockstarGames 🤦‍♂️ Lembre-se de que @elonmusk foi avisado de que isso aconteceria e pessoas como @theh3podcast provaram isso personificando o próprio Elon e interceptando milhares de DMs destinados a ele! DESLIGUE ISSO

Com a repercussão dos casos, o Twitter decidiu implementar um segundo selo de verificação, um selo branco com a mesma função de mostrar quem de fato teve a identidade comprovada, e mudou o texto ao clicar no selo azul pago. O novo texto da versão paga indicava que aquele usuário não havia sido verificado e sim estava usando a nova versão de assinatura da plataforma.

Mesmo com a mudança no texto, golpes do tipo persistiram. Afinal, o selo azul é usado em múltiplas plataformas, por milhões de pessoas, para garantir que aquele perfil é real e confiável. Como é possível ver em outros ataques que usam engenharia social, essa relação com o selo baixa a guarda dos usuários. Seres humanos tendem a procurar e seguir padrões, então, pelo puro hábito de aceitar que contas com o selo são verdadeiras, tendem a prestar menos atenção em contas com essa marcação de verificado.

Essas contas oferecem um gravíssimo risco à segurança dos usuários. Esquemas como o perfil falso do Twitter, que espalhava esquemas de criptomoedas e NFTs, podem por em risco a credibilidade de todo um mercado:

FhI_La0WAAEw_Jo Uau, o Twitter Blue agora está disponível gratuitamente./ Os detentores de criptomoedas/ NFT agora recebem o Twitter/ Blue gratuitamente, autenticando seus ativos de carteira/ Autentique agora: link falso/ PS, pode haver uma pequena surpresa após a autenticação... bird NFT? 👀

São variados os riscos de iniciativas como o Twitter Blue. Eles podem causar danos à reputação e à economia de uma empresa, ou, até mesmo, riscos em caso de calamidade pública. Afinal, muitos serviços públicos usam o Twitter para alertar para terremotos, inundações ou até conflitos armados. Com o Twitter Blue, perfis de paródia ou mal intencionados, ganham mais um grau de legitimidade ao espalhar informações falsas:

FhP_n9oWQAErKKW

Não vou mentir a máquina climática é real. Ela está em Norman, Oklahoma.

Para empresas, já citamos casos de phishing, mas todos os golpes que usam de engenharia social se beneficiam dessa ferramenta. Então, alguém pode se passar por um executivo da sua empresa e dar legitimidade para um golpe da vaga falsa. Ou então, um perfil imitando o suporte da sua empresa agora pode ficar ainda mais parecido com o suporte oficial do seu negócio.

São muitos os problemas que esse modelo de verificação paga vem enfrentando, por conta disso, o programa foi paralisado e estava programado para voltar no último dia 29 de novembro de 2022, com melhorias na segurança, mas a retomada foi adiada enquanto se discute a taxa de 30% da App Store. O programa foi restabelecido lá fora com melhorias na segurança, mas ainda não tem data para chegar ao Brasil, mas, com o uso de VPNs, pode ser possível burlar essa restrição geográfica caso volte ao ar.

Por fim, nossos especialistas recomendam que as empresas revejam as estratégias de comunicação utilizando o Twitter enquanto a situação não se estabiliza. Neste momento, é fundamental contar com o apoio de especialistas em riscos digitais para traçar a melhor estratégia de proteção, além de manter uma comunicação efetiva com seus clientes sobre o seu canal oficial na rede social.

Mesmo com as melhorias na segurança do Twitter Blue, é fundamental que a sua empresa monitore a plataforma através de perfis falsos. Um monitoramento automatizado e com machine learning ajudam a ampliar a superfície monitorada, aumentando a velocidade em encontrar ameaças e permitindo que as ações contra perfis falsos sejam agilizadas.

Por conta da falta de criptografia de ponta-a-ponta, é recomendado que a comunicação via direct message (DM) seja usada para redirecionar contatos para outras plataformas mais seguras. Ações que envolvam a manipulação de dados sensíveis, como suporte, realizadas no Twitter geram um risco maior de vazamento de dados do que em outras plataformas. Além disso, por conta do risco de perfis falsos e a dificuldade no takedown dos mesmos, se sua empresa continuar a usar esta rede social como atendimento, a legitimidade dos fraudadores aumentará.

Por último, é vital que a empresa garanta a proteção das contas oficiais das suas marcas. Uma dica para isso é ativar a autenticação em duas ou mais etapas, garantir uma política de acessos a rede e ficar de olho em como o Twitter está trabalhando para resolver suas falhas de segurança.