Support 24/7: +48 61 646 07 77
X, jeszcze do niedawna Twitter, to kolejne medium społecznościowe wybierane przez biznesy online do komunikacji z klientami. Dlatego w trzecim już odcinku serii CyberSec w social mediach przyjrzymy się tematowi zabezpieczania kont na platformie, która przez wiele lat była jednym z najchętniej odwiedzanych miejsc wymiany poglądów, mimo że pozwalała na posty o długości zaledwie 140 znaków.
W kolejnym odcinku serii CyberSec w social mediach skupiam się na bezpieczeństwie kont na platformie X (dawniej Twitter), ale oczywiście nie uniknę też uniwersalnych rad dotyczących cyberbezpieczeństwa, które znajdziesz także w poprzednich wpisach. Gorąco zachęcam do zapoznania się z wcześniejszymi częściami serii – dotychczas na naszym blogu pojawiły się artykuły o zabezpieczaniu profili na Facebooku i Instagramie oraz na LinkedIn.
Tak, jak w przypadku Facebooka i Instagrama, do stworzenia konta na X najlepiej użyć adresu (bądź aliasu) mailowego, który posłuży wyłącznie do logowania na tę platformę. Taki dedykowany mail nie powinien zawierać nazwy konta (tzw. handle) i nie należy go podawać jako opcji kontaktu, na przykład w bio. Jeśli konto zostało już stworzone, to adres mailowy można bez problemu zaktualizować.
X rekomenduje hasła o długości przynajmniej 10 znaków (ale lepiej, by było ich 12 lub więcej), wykorzystujące małe i wielkie litery, znaki specjalne i cyfry. Hasło powinno być unikalne i najlepiej stworzyć je i przechowywać w menedżerze haseł, takim jak KeePass lub 1Password. Jeśli nie decydujesz się na używanie takiego programu, to koniecznie zadbaj o to, by hasło nie wpisywało się w żaden nadrzędny wzór (np. misio[4]X, misio[4]Gmail, misio[4]Allegro), nie zawierało żadnych informacji o Tobie ani Twojej firmie i nie było łatwą do zgadnięcia sekwencją (np. abcd1234).
Jako jedno z zaskakująco niewielu mediów społecznościowych, X pozwala na zabezpieczenie konta tokenem sprzętowym. Jeśli go posiadasz, to zdecydowanie polecam jego użycie jako drugi stopień weryfikacji logowania. Inne oferowane przez platformę opcje to wiadomość SMS (która jest raczej odradzana ze względu na największe ryzyko przechwycenia kodu) oraz aplikacja uwierzytelniająca, taka jak Microsoft Authenticator lub Google Authenticator.
W zakładce Bezpieczeństwo i dostęp do konta > Bezpieczeństwo dostępna jest opcja ochrony resetowania hasła. Oznacza to mniej więcej tyle, że każda zmiana hasła będzie wymagała potwierdzenia adresu email (lub numeru telefonu, ale tu odsyłam Cię do punktu 9). Jeśli do logowania na X używasz dedykowanego adresu (o czym pisałam w punkcie 1), to polecam włączyć tę funkcję.
DM, czyli wiadomości prywatne na X to stosunkowo częsty nośnik phishingu i innej niechcianej komunikacji. Dlatego dobrą praktyką jest wybranie, kto może do Ciebie pisać. Niestety X nie oferuje tu zbyt wielu opcji, a wybór Zweryfikowanych użytkowników nie zagwarantuje Ci braku wiadomości od botów (oczywiście tylko tych zweryfikowanych). Warto jednak zwrócić uwagę na jeszcze jedną funkcję, a mianowicie Filtrowanie wiadomości o niskiej jakości, która potencjalnie wyłapie chociaż część kierowanego do Ciebie spamu.
To zrozumiałe, że czasem kontem Twojej firmy będzie zarządzać ktoś inny – obojętne, czy będzie to osoba zatrudniona przez Ciebie, czy zewnętrzna agencja marketingowa. Ale jeśli decydujesz się na to, by dać komuś takie uprawnienia, to musisz pamiętać, by w przypadku jakichkolwiek zmian jak najszybciej je również odebrać. W sieci nie brakuje historii „interesujących” wpisów z kont firmowych na X, w których były pracownik postanowił się „odegrać” za zwolnienie.
Tak jak w przypadku innych social mediów, warto co jakiś czas przejrzeć urządzenia, które mają dostęp do Twojego konta (i potwierdzić, że wszystkie aktywne sesje zostały otwarte przez Ciebie lub osoby upoważnione). W tej samej zakładce (Bezpieczeństwo i dostęp do konta) znajdziesz również historię dostępu i połączone aplikacje. Pamiętaj, by na bieżąco usuwać narzędzia, z których już nie korzystasz, bo każda taka aplikacja to potencjalny wektor ataku, który może zostać wykorzystany przez przestępców przy próbie dostania się na Twoje konto.
Ponieważ X ogranicza ilość znaków w pojedynczym poście (aktualnie do 280), osoby wrzucające linki do materiałów zewnętrznych zazwyczaj przerabiają je w darmowych „skracaczach” (np. bit.ly). Niestety w tak skonwertowanym linku nie zobaczysz prawdziwej domeny, na którą odnośnik kieruje, co oznacza, że docelowy adres strony może okazać się niebezpieczny. X rekomenduje korzystanie z polecanych wtyczek do przeglądarek, które pozwolą Ci na uzyskanie informacji o tym, dokąd prowadzi link, zanim w niego klikniesz.
To prawda, że założenie konta na X wymaga podania numeru telefonu, ale niewiele osób wie, że numer ten możesz potem z platformy usunąć. Oczywiście nie użyjesz go wtedy jako drugiego składnika 2FA, ale jak pisałam powyżej, lepszym rozwiązaniem jest zastosowanie klucza sprzętowego lub aplikacji uwierzytelniającej. Numer dobrze jest usunąć, ponieważ może on posłużyć do przejęcia konta z użyciem ataku SIM swap, czyli najprościej mówiąc – duplikatu Twojej karty SIM, który oszuści są w stanie uruchomić, jeśli znają Twoje imię, nazwisko i numer telefonu.
X pozwala dołączać do postów informację o Twojej lokalizacji, co może być kuszące na przykład, jeśli chcesz przekazać swoim odbiorcom, że właśnie urządzasz wydarzenie w ich okolicy. Niestety włączenie tej opcji automatycznie zezwala platformie na gromadzenie, przetwarzanie i wykorzystywanie precyzyjnych danych o Twojej lokalizacji (w tym GPS). Dlatego jeśli nie chcesz dzielić się ze światem swoim adresem domowym (np. w wyniku wycieku danych z platformy), to mimo wszystko bezpieczniej pozostawić tę opcję wyłączoną i włączać ją tylko w wybranych momentach.
Żeby skorzystać z usługi weryfikacji musisz wykupić płatny plan Premium, dlatego nie każdy decyduje się na ten krok. Tak jak w przypadku LinkedIn, X weryfikuje tożsamość za pomocą zewnętrznych podmiotów (Au10tix i Stripe) i przed podjęciem decyzji o skorzystaniu z weryfikacji na pewno dobrze jest sprawdzić ich warunki usług, szczególnie pod kątem przechowywania i przetwarzania danych osobowych.
Warto dodać, że tuż po wprowadzeniu tej opcji okazało się, że X ma problem ze zweryfikowanymi botami, więc ciężko powiedzieć, na ile gra jest w ogóle warta świeczki (a przynajmniej pieniędzy wydanych na Premium).
Tak samo jak Facebook i LinkedIn, X również pozwala na pobranie archiwum danych. W ten sposób możesz zweryfikować, czy platforma nie przechowuje o Tobie potencjalnie szkodliwych informacji, które mogłyby zostać wykorzystane przez oszustów. Efektem ostatniego wycieku z X (z lipca 2024) było ujawnienie blisko 200 milionów zapisów z bazy danych, w tym adresów email, nazwisk i połączeń między użytkownikami, dlatego zachęcam Cię do skorzystania z możliwości jaką oferuje serwis (zrobisz to poprzez zakładkę Moje konto).
Mam nadzieję, że ten artykuł pozwoli Ci skutecznie zabezpieczyć Twoje profile na X. Nie zapomnij podzielić się nim ze swoją społecznością i partnerami biznesowymi – Twoje bezpieczeństwo w social mediach zależy przecież również od nich. I vice versa. A w następnym odcinku cyklu zajmę się jedną z najmłodszych platform społecznościowych, a mianowicie TikTokiem.
![Bezpieczeństwo środowisk testowych [krótki poradnik dla DevOps/SysOps]](https://centuria.pl/wp-content/uploads/2022/09/07-12-bezpieczenstwo-srodowisk-424x228.jpg)
