在这份报告中,NYSDFS通过对比的例子指出,受监管的加密货币公司采取行动以防止Twitter黑客诈骗更多人的速度有多快-认为这表明技术创新和监管并不是相互排斥的。
它的重点是,最大的社交媒体平台拥有巨大的社会力量(伴随着所有相关的消费者风险),但没有保护用户的监管责任。
报告的结论是,这是美国立法者需要着手解决的问题-建议成立一个监督委员会(“指定具有系统重要性的社交媒体公司”),并任命一个“适当的”监管机构来“监控和监督”主流社交媒体平台的安全做法。
“社交媒体公司已经发展成为一种不可或缺的沟通方式:超过一半的美国人使用社交媒体获取新闻,并与同事、家人和朋友联系。NYSDFS写道,这种演变要求建立一种将社交媒体反映为关键基础设施的监管制度“,然后继续指出,”仍然没有专门的州或联邦监管机构有权确保足够的网络安全做法,以防止欺诈、虚假信息和其他对社交媒体巨头的系统性威胁“。
报告补充称:“Twitter黑客攻击事件最大程度地表明,当具有系统重要性的机构任由其自我监管时,社会将面临风险。”“保护具有系统重要性的社交媒体不被滥用对我们所有人--消费者、选民、政府和行业--至关重要。现在是政府采取行动的时候了。“。
司法部调查的关键发现之一是,黑客通过给员工打电话并自称来自Twitter的IT部门,侵入了Twitter的系统-通过这种简单的社会工程方法,他们能够欺骗四名员工交出他们的登录凭据。从那里,他们可以访问知名政客、名人和企业家的Twitter账户,包括巴拉克·奥巴马(Barack Obama)、金·卡戴珊·韦斯特(Kim Kardashian West)、杰夫·贝佐斯(Jeff Bezos)、埃隆·马斯克(Elon Musk)和一些加密货币公司-利用被劫持的账户向数百万用户发布加密骗局。
推特此前已证实,有人利用“电话鱼叉式网络钓鱼”攻击来获取凭证。
根据这份报告,黑客的“让你的比特币加倍”诈骗信息,其中包含用比特币支付的链接,使他们能够从Twitter用户那里窃取价值超过11.8万美元的比特币。
尽管由于受监管的密码公司-即Coinbase、Square、双子信托公司(Gemini Trust Company)和Bitamp-采取了迅速行动,防止了相当大的一笔资金被盗,但司法部表示,这些公司阻止了欺诈者的数十次企图转账。
报告指出:“这一迅速的行动阻止了6000多笔向黑客比特币地址的转账企图,价值约150万美元。”
Twitter还因在黑客袭击发生时没有网络安全主管而受到指责-此前他未能接替3月份离职的迈克尔·科茨(Michael Coates)。(上个月,它宣布Rinki Sethi已被聘为CISO)。
NYSDFS写道:“尽管推特是一个号称在2019年拥有超过3.3亿月平均用户的全球社交媒体平台,但它缺乏足够的网络安全保护。”“在遭到攻击时,推特没有首席信息安全官,没有足够的访问控制和身份管理,也没有足够的安全监控--这些都是该部门全国首创的网络安全法规所要求的一些核心措施。”
欧盟数据保护法已经将安全要求作为全面隐私和安全框架的一部分(对违反安全的行为可能进行重大处罚)。然而,爱尔兰DPC对2018年Twitter安全事件的调查仍未结束,因为今年8月,一项决定草案未能获得其他欧盟数据监管机构的支持,这引发了泛欧盟监管进程的进一步推迟。