Escriba para buscar

es
La fuga de código fuente de Twitter debería servir como advertencia, dicen los expertos en seguridad Innovación

La fuga de código fuente de Twitter debería servir como advertencia, dicen los expertos en seguridad

"Gorjeo

Los ejecutivos de Twitter sospechan que el código fue robado por un empleado descontento que dejó la empresa en la época en que el multimillonario empresario tecnológico Elon Musk adquirió la empresa por 44.000 millones de dólares.

Después de que se anunció que partes del código fuente de Twitter se filtraron en línea, los investigadores de seguridad sugirieron que debería servir como una advertencia de que se deben tomar mejores medidas para proteger las redes corporativas. Eso debería incluir a los que están adentro, así como a cualquier amenaza externa potencial.

En este caso, la programación base para Twitter se publicó brevemente en la red de programación colaborativa GitHub. Se eliminó el mismo día, pero el código que se publicó incluso durante un breve período de tiempo podría haberse copiado y redistribuido fácilmente. Twitter solicitó a un tribunal de distrito de EE. UU. para el Distrito Norte de California que ordene a Github que revele la identidad del usuario que publicó inicialmente el código, así como de aquellos que pudieron haber accedido y descargado.

Se ha informado que los ejecutivos de Twitter sospechan que el código fue robado por un empleado descontento que dejó la empresa en la época en que el multimillonario empresario tecnológico Elon Musk adquirió la plataforma por $ 44 mil millones y luego despidió a una parte significativa del personal.

"El código fuente filtrado de Twitter podría ser el resultado de ex empleados molestos, personas a las que realmente no les gusta Elon Musk o incluso estados nacionales que desean encontrar agujeros y una forma de utilizar la plataforma para su beneficio", dijo David. Lindner, CISO de Contrast Security, a través de un correo electrónico.

Linder también cuestionó la respuesta de Twitter a la filtración del código. Las preocupaciones de seguridad casi parecían ser una ocurrencia tardía.

"Es interesante que los primeros pensamientos de Twitter fueran emitir el aviso de infracción de derechos de autor a GitHub", explicó. "Si bien es un paso importante, pero realmente no tan significativo ya que el código ya está disponible, habría contratado de inmediato a una firma forense externa para asegurarme de que el actor malicioso no estuviera todavía en los entornos de Twitter".

En cambio, la atención se centró en la propiedad intelectual (PI) en lugar de los riesgos que tal filtración podría representar para los usuarios de Twitter.

"En muchos de estos casos, los actores nefastos usan 'filtraciones' como esta como una distracción para un ataque más dañino", agregó Linder. "Será interesante ver cómo Twitter maneja la transparencia de sus hallazgos."

Trabajo interno: más que probable

Tampoco son solo los ejecutivos actuales de Twitter los que ahora creen que un empleado descontento estuvo detrás de la brecha. De hecho, podría ser sorprendente si no fuera por alguien interno que tenía problemas con la dirección que estaba tomando la empresa.

Descubrir cómo ocurrió la fuga de código también debería ser una prioridad principal, dijo Tim Mackey, estratega principal de seguridad del Centro de Investigación de Seguridad Cibernética de Synopsys (CyRC).

"La capacidad de publicar el código fuente en un repositorio de GitHub propiedad de la empresa debe estar sujeta a múltiples controles y revisiones de gobierno. Sucesos como los que ha experimentado Twitter deben gestionarse mediante los mismos procesos que cualquier organización usaría para determinar si y cuándo podría querer 'open source' un proyecto", dijo Mackey a través de un correo electrónico.

Aunque tales controles ayudarían a proteger el repositorio de código fuente de una organización, vale la pena señalar que cuando un desarrollador trabaja en su rama del código fuente, probablemente esté usando una cuenta personal.

"Idealmente para usuarios corporativos, esa 'cuenta personal' es parte de un repositorio administrado por la empresa con controles de acceso apropiados que restringen el acceso solo a usuarios aprobados", explicó Mackey.

El genio está fuera de la botella

Como se señaló, Twitter ahora busca averiguar no solo quién publicó el código filtrado, sino también quién lo descargó. ¡Rastrear cada copia podría ser una tarea de Sísifo, por decir lo menos!

"Por supuesto, la publicación del código fuente y su posterior eliminación no significa que alguien no lo haya copiado mientras era público", advirtió Mackey. "Cualquiera que lo haya hecho tendría la capacidad de analizar el código fuente e identificar si hay alguna debilidad explotable. Este es precisamente el tipo de escenario contra el cual los controles de gobierno del código fuente están diseñados para proteger."

Next Article
Los resultados profilácticos alteran las respuestas de la vacuna al covid-19
Next Article
VDO.AI tiene como objetivo generar nuevos ingresos para los editores