La clé des crises de cybersécurité chez Twitter, Uber et Take-Two Interactive ? Réduire l’erreur humaine

Tout d’abord, l’ancien chef de la sécurité de Twitter, Peiter Mudge Zatko, a averti un comité du Congrès des principales vulnérabilités de sécurité de l’entreprise qui mettent en danger les informations personnelles de millions d’utilisateurs.

Jeudi soir, Uber a confirmé avoir été victime d’une cyberattaque débilitante dans laquelle un pirate informatique semblait avoir eu accès à de larges pans de ses systèmes internes. (Uber a déclaré vendredi qu’il n’y avait aucune preuve que le pirate informatique avait accédé aux données sensibles des utilisateurs, bien que les observateurs de la cybersécurité n’aient pas été entièrement convaincus.)

Puis, au cours du week-end, un pirate informatique a divulgué des dizaines de vidéos semblant représenter les premières images de Take-Two Interactives très attendues. Grand Theft Auto VI jeu vidéo, une fuite sans précédent dans l’industrie du jeu. Take-Two Interactive a confirmé la fuite lundi matin. Un pirate informatique revendiquant la responsabilité a suggéré qu’il détenait des produits de travail supplémentaires contre une rançon.

La tendance naturelle est de tirer une sorte de conclusion radicale de ce trio de cyber-incursions, en particulier à une époque où de plus en plus d’employés travaillent à domicile dans des environnements qui pourraient être plus vulnérables aux attaques. Mais les trois incidents présentent des différences distinctes qui, en fin de compte, ne font que renforcer la responsabilité partagée de chaque employé dans la lutte contre les dangers numériques.

Le brouhaha de Twitter se concentre principalement sur les plus hauts niveaux de gestion, Zatko alléguant que l’actuel PDG Parag Agrawal et l’ancien PDG Jack Dorsey ont négligé de mettre en œuvre les mises à niveau de cybersécurité indispensables. Bien que la société n’ait pas connu de faille majeure depuis fin 2021, lorsqu’un pirate informatique a exploité une vulnérabilité logicielle pour télécharger des données sur 5,4 millions d’utilisateurs, Zatko a déclaré que les systèmes de Twitter sont inutilement exposés en raison de sous-investissements dans la cybersécurité. (Les responsables de Twitter ont réfuté les affirmations, affirmant que les mauvaises performances de Zatko et son leadership inefficace avaient conduit à son licenciement.)

L’attaque d’Uber, quant à elle, semble provenir d’employés de base qui n’ont pas tenu compte des avertissements de base en matière de cybersécurité.

Un pirate informatique revendiquant la violation d’Uber a déclaré au New York Times qu’ils ont eu accès aux systèmes de l’entreprise après s’être fait passer pour un membre du personnel informatique de l’entreprise et avoir convaincu un travailleur de fournir un mot de passe. (Uber n’a ni confirmé ni nié ce compte.)

Les détails sur la source du piratage de Take-Two Interactive sont également rares, bien que le journaliste de jeux Bloomberg Jason Schreier tweeté dimanche que la théorie courante est que leur Slack a été compromis.

Dans le sillage des piratages, un chœur d’experts en cybersécurité, de politiciens et d’experts des médias sociaux ont proposé toutes sortes de solutions. Zatko a suggéré que le gouvernement fédéral, à savoir la Federal Trade Commission en sous-effectif, renforce la surveillance des entreprises qui ont perdu des données d’utilisateurs privés au profit de pirates. Les leaders de l’industrie ont fait pression pour de meilleures procédures d’authentification multifactorielle, telles que l’exigence d’un matériel spécial connecté aux ordinateurs pour contrôler l’accès des employés aux systèmes de l’entreprise.

Tout va bien. Mais dans les cas de Twitter (en supposant que Zatko a raison) et d’Uber (en supposant que les prétendus commentaires des pirates sont vrais), le jugement humain reste la plus grande vulnérabilité.

Si Twitter a vraiment fait peu de progrès significatifs sur les systèmes de base de sécurité, d’intégrité et de confidentialité, comme Zatko l’a allégué dans une plainte de lanceur d’alerte, c’est le reflet d’une gestion abandonnée. Si un employé d’Uber ne pouvait pas discerner la différence entre un colporteur et un véritable collègue informatique, c’est un échec de l’employé et de la gestion de la cybersécurité.

La formation générale de sensibilisation à la cybersécurité, les tests de pénétration et l’éducation anti-hameçonnage sont de puissants moyens de dissuasion contre de telles attaques, a déclaré Neil Jones, directeur de l’évangélisation de la cybersécurité à la société de sécurité cloud Egnyte, à VentureBeat. Mais même les mieux entraînés d’entre nous dérapent parfois, surtout lorsqu’ils ont affaire à un escroc rusé.

Chose intéressante, Wall Street semble avoir pris en compte les hacks dans son évaluation des entreprises. Les actions d’Uber n’ont chuté que de 4 % vendredi, contre une baisse de 1 % du Nasdaq Composite, une baisse assez modeste compte tenu des allégations des pirates informatiques concernant une infiltration étendue. Le cours de l’action Take-Two Interactives est resté inchangé lundi à midi, reflétant le Nasdaq Composite.

Peut-être que les investisseurs se rendent compte qu’il n’y a pas de solution miracle pour prévenir toutes les erreurs de cybersécurité.

Vous voulez envoyer des pensées ou des suggestions pourFiche technique?Écrivez-moi ici.

Jacob Charpentier

NOUVELLES

Recherché : La vérité. autorités sud-coréennes et Laboratoires TerraForm cofondateur Do Kwon a publié des déclarations contradictoires au cours du week-end sur le niveau de coopération des entrepreneurs de crypto-monnaie suite à l’émission d’un mandat d’arrêt, a rapporté Bloomberg. Do Kwon, qui a supervisé l’effondrement de 60 milliards de dollars des jetons TerraUSD et Luna, a tweeté samedi qu’il était en pleine coopération avec les agences gouvernementales. Cependant, des responsables sud-coréens ont par la suite répondu qu’il était manifestement en fuite et refusait de coopérer avec les enquêteurs.

Retour en bas. Valeurs des bitcoins ont chuté lundi à leur prix le plus bas depuis juin, et Ethereum a renoncé à sa bosse post-fusion, en grande partie à cause des craintes que les taux d’intérêt continuent d’augmenter, a rapporté CNBC. Bitcoin est brièvement tombé en dessous de 18 500 dollars pour la première fois en trois mois avant de rebondir à environ 18 900 dollars lundi après-midi. Les valeurs d’Ethereum ont baissé de 22 % la semaine dernière, malgré un changement tant attendu jeudi vers un nouveau protocole minier plus respectueux de l’environnement.

Une introduction en bourse monstre. Volkswagen s’attend à lever environ 9 milliards de dollars de son offre publique initiale la semaine prochaine d’une participation minoritaire dans Porsche, a rapporté l’Associated Press lundi. Le constructeur automobile allemand vend jusqu’à 25% de la marque de luxe pour aider à financer son adoption des véhicules électriques. La fourchette de prix de l’introduction en bourse de la société équivaut à 8,7 milliards de dollars à 9,4 milliards de dollars, légèrement en dessous des estimations des analystes qui suggéraient que Volkswagen pourrait rapporter environ 10 milliards de dollars.

Opérationnel et pleinement fonctionnel. Tesla a achevé lundi son projet d’un mois pour augmenter la capacité de production de son usine d’assemblage de Shanghai, une entreprise retardée de plusieurs mois par des fermetures liées au COVID en Chine, a rapporté Reuters. Le constructeur d’automobiles électriques prévoit de produire le double du nombre de véhicules à l’usine de Shanghai après les mises à niveau terminées, aidant l’entreprise sur le marché concurrentiel des véhicules électriques en Chine. Tesla prévoit de poursuivre les tests sur des parties des chaînes de montage améliorées jusqu’à la fin novembre.

NOURRITURE POUR LA PENSÉE

Si la chaussure convient. Nike veut fournir Amazoneservice de livraison de niveau supérieur à ses acheteurs de chaussures et de vêtements. Insider a rapporté lundi que Nike adoptait certaines des tactiques de logistique et d’inventaire des géants du commerce électronique, dans le cadre d’un effort pour répondre aux attentes des consommateurs en matière de livraison en deux ou trois jours. Nike espère mieux intégrer ses magasins physiques à sa place de marché numérique, accélérant la livraison des produits grâce à une approche plus régionale de l’expédition. Ce changement fait suite à des plans similaires adoptés ces dernières années par Walmart, Cibleet Dicks Articles de sport.

Du article:

[Nikes] un plan d’inventaire connecté plus important est le dernier exemple de la pression exercée par Amazon sur les entreprises, même l’une des plus grandes entreprises au monde, pour rivaliser sur la vitesse de livraison.

Tout le monde s’est habitué à Amazon, a déclaré Brian Yarbrough, analyste de recherche principal d’Edward Jones. La plupart des détaillants essaient de le réduire à deux ou trois jours. Amazon a créé cela. Amazon fait le même jour maintenant. Amazon a conditionné les consommateurs à avoir des attentes beaucoup plus élevées en matière de délais de livraison rapides.

DANS LE CAS OÙ VOUS L’AVEZ MANQUÉ

La société GIF dit à l’Europe qu’elle est si effrayée que Meta devrait être autorisée à l’acheterpar Steve Mollman

Comment le fondateur de Figma et décrocheur universitaire Dylan Field est passé de stagiaire LinkedIn à milliardaire en seulement une décenniede Lucy Brewster

Ces entreprises technologiques accélèrent l’élimination permanente du carbone pour sauver la planète, par Lisa Held

Quelle est la qualité des nouvelles Apple Watch Ultra et iPhone 14 ?par Zijia Song et Bloomberg

Le dernier hourra de Choco Tacos sera une chasse au trésor numériquede Chris Morris

Les États-Unis sont en retard pour un changement radical dans leur stratégie de cybersécurité, mais le changement arrive enfinpar Andrew Rubin

AVANT QUE TU PARTES

Mieux vaut appeler Clearview. La technologie de reconnaissance faciale dystopique a finalement fonctionné dans les barreaux de la défense pénale, même si un cas unique pourrait ne pas suffire à sauver sa réputation. La New York Times a rapporté dimanche qu’un avocat de la défense du sud-ouest de la Floride utilisé IA Clearview produits à identifier un témoin crucial dans une affaire d’homicide au volant d’un véhicule, dont le témoignage a finalement conduit les procureurs à abandonner les accusations de crime grave contre un homme accusé à tort d’avoir causé un accident mortel. La police travaillant sur les lieux de l’accident a capturé une vidéo du témoin, qui a tiré l’accusé du siège passager de la voiture, mais ils n’ont pas noté son nom ni ses coordonnées. Après des mois de recherche, un avocat de la défense a fait appel à Clearview, connu pour fournir aux forces de l’ordre et aux entreprises un accès à des bases de données avec des milliards de visages, pour voir si leur technologie pouvait retracer le témoin à travers son apparition dans la vidéo. Effectivement, les avocats de la défense avaient une pièce d’identité sur le témoin quelques secondes après avoir accédé à l’outil. Clearview AI a déclaré qu’elle autoriserait désormais les défenseurs publics à utiliser leurs produits, mais les critiques de la société ont déclaré que la technologie constituait toujours une atteinte majeure à la vie privée.