A autenticação de nível empresarial continua sendo o calcanhar de Aquiles das mídias sociais, de acordo com um relatório da provedora de gerenciamento de acesso Cerby. Segundo o estudo, divulgado na terça-feira, 7, a área de maior preocupação das cinco plataformas estudadas — Twitter, Facebook, Instagram, TikTok e YouTube — é o suporte deficiente à tecnologia de autenticação e autorização de nível empresarial.
A Cerby diz que o suporte para tecnologia de autorização entre ambientes, como as ferramentas de Simple Cloud Identity Management (SCIM) e Security Assertion Markup Language (SAML), ajudaria a proteger as redes sociais de forma mais eficaz. “Sem esses padrões, figuras políticas e empresas são vulneráveis a vários riscos de segurança, incluindo ataques de reutilização de credenciais”, diz o relatório. “A natureza inalterada das pontuações de 2022 a 2023 mostra um desalinhamento em relação aos controles de segurança de nível empresarial dentro dessas plataformas”, destaca.
De acordo com o relatório, o Facebook é a rede social mais segura entre os principais players, graças a controles de privacidade mais aprimorados e suporte para uma tecnologia de autenticação de dois fatores mais segura, mas destaca que o setor de mídia social como um todo continua vulnerável a diferentes tipos de aquisição de conta.
A rede social de Mark Zuckerberg, assim como o YouTube e o X (ex-Twitter) suportam a estrutura FIDO2, um padrão aberto que usa autenticadores como chaves de segurança de smartphone ou hardware para fornecer autenticação de dois fatores — uma melhoria em relação às senhas sensíveis ao tempo enviadas via SMS.
O gerenciamento de privilégios de acesso foi considerado forte em todas as redes sociais estudadas pela Cerby, com nenhuma classificação da empresa inferior a três em cada cinco. O relatório usa uma escala de seis pontos para classificar as plataformas sociais em seis critérios diferentes, com um zero significando nenhum suporte e nenhum roteiro para incorporar um recurso específico, e cinco indicando suporte completo e maduro.
A necessidade de avanço na autenticação e autorização de nível empresarial em mídias sociais continua sendo desafiadora”, diz o relatório. “Essas plataformas geralmente se enquadram na categoria de aplicativos não padrão, precisando de mais suporte para padrões de segurança comuns, como SAML e SCIM, deixando políticos e empresas à deriva em águas turbulentas com supervisão mínima das equipes de TI e segurança.”
A Cerby faz três grandes orientações para políticos e empresas que procuram empregar as mídias sociais da maneira mais segura possível. Primeiro, os gerenciadores de senhas integrados aos provedores de identidade corporativa devem ser usados para minimizar os perigos representados por senhas reutilizadas ou fracas. Em segundo lugar, os métodos de autenticação de dois fatores mais fortes possíveis devem ser usados — a empresa sugere chaves de segurança baseadas em hardware, como YubiKey. Por fim, a integração de plataformas de mídia social com plataformas de SSO (single sign-on) existentes, como o Azure Active Directory ou o Okta, pode ajudar a centralizar o gerenciamento de credenciais e tokens de acesso.
“A mídia social se tornou um campo de batalha político, com bilhões influenciando e sendo influenciados em questões cruciais”, disse o diretor de confiança da Cerby, Matt Chiodi. “Nosso relatório ressalta uma melhoria marginal de segurança em todas as plataformas, mas a falta de autenticação e autorização de nível empresarial permanece alarmante. Não se trata apenas de lacunas técnicas, mas de potenciais canais para aquisições de contas e campanhas de desinformação. À medida que os eleitores vão às urnas hoje, a urgência de um esforço colaborativo entre líderes políticos, empresas e plataformas de mídia social para fortalecer a infraestrutura de segurança nunca foi tão clara.”
Veja isso
Contas do Facebook visadas por grupos de hackers vietnamitas
YouTube vem sendo usado para oferta de criptomoeda falsa
As principais descobertas sobre controles de segurança e privacidade em plataformas de mídia social incluem:
- Autenticação de dois fatores (2FA): o X (ex-Twitter) melhorou significativamente o 2FA ao oferecer suporte ao padrão FIDO2 resistente a phishing (um padrão de autenticação global baseado em criptografia de chave pública), obtendo uma pontuação de 5 — juntando-se às fileiras com o Facebook e o YouTube.
- Autenticação e autorização de nível empresarial: a categoria não teve mudanças em relação ao ano passado. Essa descoberta destaca uma lacuna de segurança gritante e a baixa adoção de padrões vitais, como SAML para autenticação (logon único ou SSO) e o sistema de gerenciamento de identidades entre domínios (SCIM) para integração e desintegração automatizada de acesso de usuários. Ambos são controles críticos para a proteção contra aquisições de contas e indivíduos que mantêm acesso a contas de alto perfil depois de deixarem uma organização.
- Controles de privacidade: Um aumento médio de 25% foi observado, impulsionado principalmente pelas melhorias significativas do Facebook. O Facebook saltou de 1,5 para 3,5 devido a melhorias sólidas, especificamente com acesso de terceiros baseado em tempo — uma proteção essencial contra o acesso retido.
Para ter acesso ao relatório completo da Cerby clique aqui.