Tweety in een veiligere kooi: Twitter garandeert grotere bescherming

Tweety in een veiligere kooi

Geplaatst op 2 juli 2010 onder ICT-recht  > Twitter door Sebastiaan Vandenbogaerde.

Twitter en de Amerikaanse Federal Trade Commission (FTC) kwamen, nadat deze laatste de sociale netwerksite ervan beschuldigde zijn gebruikers te misleiden omtrent hun privacy, tot een vergelijk. Het kon immers niet dat de gebruiker zich beschermd waande, terwijl het ganse systeem zo lek bleek te zijn als de veiligheid op een boorplatform in de Golf van Mexico. Twitter slaagde er niet in de persoonlijke confidentiële gegevens van zijn gebruikers voldoende te beschermen, waardoor hackers hun handen erop konden leggen. Private tweets, de berichten van maximaal 140 karakters, konden worden gelezen, terwijl valse tweets de wijde wereld werden ingestuurd verstuurd. Dat alles zou te wijten geweest zijn aan een gebrekkige bescherming in de software, waardoor zelfs de account van president Obama werd getroffen.

“Als een onderneming belooft dat de persoonlijke informatie van haar gebruikers veilig is, dan moet die belofte ook worden gehouden.   Een onderneming die toelaat dat de consumenten hun informatie als privé kunnen bestempelen, moet alle redelijke veiligheidsmaatregelen nemen om dergelijke informatie privé te houden”, stelde FTC-directeur David Vladeck terecht.

De klacht van het FTC bevatte de vermelding dat hackers er tussen januari en mei 2009 er tot tweemaal toe in geslaagd waren om de controle over Twitter over te nemen. In januari 2009 verwierf een hacker toegang en controle over de site met behulp van een tool dat alle mogelijke combinaties probeerde tot een goed paswoord was gevonden. Het bleek uiteindelijk een zwak, ordinair paswoord te zijn dat simpelweg in het woordenboek terug te vinden was. Eenmaal toegang verschaft tot de gegevens, wijzigde de hacker meerdere paswoorden van gebruikers en plaatste sommige daarvan op een website zodat andere mensen toegang kregen tot de accounts. Enkelen maakten op die manier van de gelegenheid misbruik om valse tweets de wereld in te sturen. Het bekendste is dat van de toen nog presidentskandidaat Barack Obama, waarbij hij zijn followers zogezegd de kans bood om 500 dollar gratis benzine te winnen.

In april 2009 kreeg Twitter een nieuwe aanval te verduren nadat een cyberpiraat er in geslaagd was het emailadres van een Twitterwerknemer te kraken. In deze mailaccount konden twee paswoorden worden teruggevonden, waardoor de hacker de paswoorden van gebruikers wist te resetten, en zich toegang kon verschaffen tot niet-publieke informatie en tweets.

Volgens de klacht van het FTC was Twitter kwetsbaar voor dergelijke aanvallen omdat het er niet in slaagde de controle over hun systeem te behouden. Er werden niet de nodige stappen ondernomen om de veiligheid te verhogen. Werknemers werden niet aangespoord om moeilijk te achterhalen paswoorden te gebruiken en die na een redelijke termijn te veranderen. Het bleek ook al te vaak dat dezelfde paswoorden werden gebruikt. Daarenboven was er geen verbod dat werknemers hun paswoorden niet in persoonlijke mails mochten vermelden. Er was niet voorzien dat de toegang tot de site werd geblokkeerd nadat een redelijk aantal verkeerde login pogingen werden uitgevoerd. Van een aparte loginpagina voor de beheerders was geen spraken, waardoor zowel beheerders als gebruikers door dezelfde deur gingen. Bovendien bleek dat toegang tot de controle over Twitter niet aan een beperkt aantal werknemers was voorbehouden, evenmin werd voorzien in een beperkte toegangcontrole op basis van IP-adressen. Twitter gebruikte te weinig de mogelijke beveiliggingsmechanismen, maar wordt met dit akkoord aangespoord dat nu wel te doen.

Verder werd bepaald dat Twitter zich twintig jaar lang zal moeten onthouden van het misleiden van zijn gebruikers over de omvang van de veiligheid, privacy en confidentialiteit van niet-publieke informatie. Er moeten maatregelen genomen worden om ongeoorloofde toegang te ontzeggen, en een veiligheidsprogramma dient te worden uitgewerkt. De komende tien jaar zal op geregelde tijdstippen een onafhankelijke audit controle uitoefenen op de sociale netwerksite.
Het voorstel werd unaniem aangenomen en in het Federal Register zal daarover een aankondiging worden gepubliceerd. Tot 26 juli 2010 kan het grote publiek zich uitspreken over de inhoud van ervan (op: https://public.commentworks.com/ftc/twitter), waarna wordt besloten om het bestaande al dan niet als definitief geldend te bestempelen.

Bronnen:

http://www.ftc.gov/opa/2010/06/twitter.shtm
http://www.reuters.com/article/idUSTRE65N3V620100624