Secondo Twitter, il codice è stato rubato e lasciato da un dipendente scontento. … [+]
I ricercatori della sicurezza hanno affermato che i codici sorgente di Twitter sono trapelati online. Hanno anche suggerito che questo dovrebbe fungere da allarme per altre società sulla necessità di una migliore protezione della rete. Questo dovrebbe coprire sia le minacce interne che quelle esterne.
Questo caso ha visto la programmazione di base di Twitter pubblicata brevemente sulla piattaforma di programmazione collaborativa GitHub. Sebbene sia stato eliminato il giorno successivo, il codice era ancora disponibile sulla rete di programmazione collaborativa GitHub. Tuttavia, il codice avrebbe potuto facilmente essere duplicato e ridistribuito. Twitter ha chiesto al tribunale distrettuale degli Stati Uniti nel distretto settentrionale della California l’ordine di Github di rivelare l’identità del poster originale del codice di Github e di coloro che potrebbero averlo scaricato.
È stato riferito che i dirigenti di Twitter sospettano che il codice sia stato rubato da un dipendente scontento che ha lasciato l’azienda nel periodo in cui l’imprenditore tecnologico miliardario Elon Musk ha acquisito la piattaforma per 44 miliardi di dollari, e poi ha licenziato una parte significativa del personale.
David Lindner (CISO di Contrast Security) ha dichiarato via e-mail che il codice sorgente trapelato potrebbe essere stato il lavoro di dipendenti scontenti o di persone a cui non piace Elon Musk.
Linder ha anche espresso preoccupazione per la risposta di Twitter in merito alla fuga di codice. La preoccupazione per la sicurezza sembrava quasi un ripensamento.
La sua spiegazione è stata che Twitter aveva inizialmente pensato di dare l’avviso di violazione del copyright per GitHub. “Sebbene sia un passaggio importante, ma in realtà non così significativo in quanto il codice è già disponibile, avrei immediatamente assunto una società forense esterna per assicurarmi che l’attore malintenzionato non fosse ancora negli ambienti di Twitter”.
Invece dei pericoli che una simile fuga di notizie potrebbe comportare per gli utenti di Twitter, si trattava di proprietà intellettuale (IP).
Linder ha aggiunto che “In molti di questi casi, agenti malvagi usano fughe di notizie come questa come diversivo per un attacco più grande”. “Sarà interessante vedere Twitter gestire la trasparenza nelle loro scoperte.”
Inside Job – Più che probabile
I dirigenti di Twitter non sono gli unici a credere che un dipendente sia responsabile di questa violazione. Potrebbe anche sorprendere che non fosse un insider a essere scontento della direzione dell’azienda.
Tim Mackey (principal security strategist presso Synopsys Cybersecurity Research Center, CyRC) ha affermato che scoprire la fonte della fuga di codice dovrebbe essere la massima priorità.
È necessario applicare più controlli e revisioni di governance alla possibilità di pubblicare il codice sorgente nel repository GitHub di un’azienda. “Occasioni come quella sperimentata da Twitter devono essere gestite dallo stesso processo che ogni organizzazione utilizza per decidere se desidera rendere open source un progetto. Mackey ha dichiarato via e-mail.
Mentre tali salvaguardie sarebbero vantaggiose per il repository del codice sorgente dell’organizzazione, gli sviluppatori che lavorano sul loro particolare ramo di codice probabilmente hanno un account personale.
Mackey ha affermato: “Idealmente gli utenti aziendali avrebbero un ‘account personale’ che fa parte di un repository gestito dall’azienda con controlli di accesso adeguati per limitare l’accesso agli utenti autorizzati”.
Il Genio ha lasciato la bottiglia
Twitter, come notato, sta cercando di rintracciare non solo la fonte del codice trapelato ma anche chi lo ha scaricato. Potrebbe rivelarsi un compito piuttosto arduo tenere traccia di ogni copia.
Mackey ha avvertito che “ufficialmente, la pubblicazione del codice sorgente non significa necessariamente che qualcuno non ne abbia fatto delle copie mentre era pubblicamente disponibile”. Chiunque lo avesse fatto sarebbe stato in grado di analizzare il codice sorgente per identificare eventuali vulnerabilità. Questo è esattamente il tipo di controlli di governance del codice sorgente dello scenario da cui devono proteggersi.
