超過(guò)一千名Twitter員工和承包商可以使用內(nèi)部工具

兩名前雇員表示，截至今年早些時(shí)候，超過(guò)一千名Twitter員工和承包商可以使用內(nèi)部工具，這些工具可以更改用戶帳戶設(shè)置和對(duì)其他人的手動(dòng)控制，因此很難防范發(fā)生的黑客入侵上星期。

Twitter和FBI正在調(diào)查該漏洞，該漏洞使黑客能夠反復(fù)驗(yàn)證來(lái)自民主黨總統(tǒng)候選人喬·拜登，億萬(wàn)富翁慈善家比爾·蓋茨，特斯拉首席執(zhí)行官埃隆·馬斯克和前紐約市長(zhǎng)邁克·彭博格等人的已驗(yàn)證帳戶的推文。

Twitter周六表示，作案者“操縱了少量員工，并使用他們的證書(shū)”登錄工具并移交了45個(gè)帳戶的訪問(wèn)權(quán)限。該公司周三表示，黑客本來(lái)可以從36個(gè)帳戶中讀取直接消息，但無(wú)法識(shí)別受影響的用戶。

熟悉Twitter安全實(shí)踐的前雇員表示，做過(guò)同樣的事情的人太多了，到2020年初超過(guò)了1000人，其中包括Cognizant這樣的承包商。

Twitter拒絕對(duì)此數(shù)字發(fā)表評(píng)論，也不會(huì)透露該數(shù)字是在黑客入侵之前還是之后有所下降。Twitter說(shuō)，該公司正在尋找一個(gè)新的安全負(fù)責(zé)人，以更好地保護(hù)其系統(tǒng)安全，并培訓(xùn)員工抵御外來(lái)者的欺騙手段。Cognizant沒(méi)有回應(yīng)置評(píng)請(qǐng)求。

AT&T前首席安全官愛(ài)德華·阿莫羅索(Edward Amoroso)說(shuō)：“這聽(tīng)起來(lái)好像有太多人可以進(jìn)入。”工作人員的職責(zé)應(yīng)該分開(kāi)，訪問(wèn)權(quán)限僅限于這些職責(zé)，并且需要超過(guò)一個(gè)人同意進(jìn)行最敏感的帳戶更改。“為了正確地進(jìn)行網(wǎng)絡(luò)安全，您不能忘記無(wú)聊的事情。”

網(wǎng)絡(luò)安全專家說(shuō)，內(nèi)部人員的威脅，特別是低薪的外部支持人員的威脅，一直是為服務(wù)大量用戶的公司帶來(lái)的擔(dān)憂。他們說(shuō)，可以更改關(guān)鍵設(shè)置的人數(shù)越多，監(jiān)督就必須越強(qiáng)。

絆倒

這位前雇員表示，在經(jīng)歷先前的失誤之后，Twitter的日志記錄有所改善，包括去年11月被指控為沙特阿拉伯政府從事間諜活動(dòng)的一名雇員對(duì)記錄的搜索。

但是，盡管日志記錄有助于調(diào)查，但只有警報(bào)或不斷的審核才能將日志變成可以防止違規(guī)的內(nèi)容。

思科系統(tǒng)公司前首席安全官約翰·斯圖爾特(John Stewart)表示，具有廣泛訪問(wèn)權(quán)限的公司需要采取一系列緩解措施，并“最終(確保)最強(qiáng)大的授權(quán)人員只能按照他們的預(yù)期去做。”

尚不清楚究竟是誰(shuí)真正發(fā)起了這次黑客大潮，但外部研究人員(如221B部門的艾莉森·尼克松)表示，此事件似乎與一群定期交易新穎性標(biāo)志(尤其是一到兩個(gè)字符的帳戶名稱)的網(wǎng)絡(luò)犯罪分子有關(guān)。有點(diǎn)像在線世界的虛榮車牌。

盡管將黑客與這些人聯(lián)系在一起的公開(kāi)證據(jù)是偶然的，但超短的Twitter句柄是最早被劫持的人之一。

另外，StopSIMCrime的分析師Nixon和Nick Bax說(shuō)，長(zhǎng)期以來(lái)，這些黑客活躍的論壇上充斥著