超過一千名Twitter員工和承包商可以使用內(nèi)部工具

兩名前雇員表示，截至今年早些時候，超過一千名Twitter員工和承包商可以使用內(nèi)部工具，這些工具可以更改用戶帳戶設(shè)置和對其他人的手動控制，因此很難防范發(fā)生的黑客入侵上星期。

Twitter和FBI正在調(diào)查該漏洞，該漏洞使黑客能夠反復(fù)驗證來自民主黨總統(tǒng)候選人喬·拜登，億萬富翁慈善家比爾·蓋茨，特斯拉首席執(zhí)行官埃隆·馬斯克和前紐約市長邁克·彭博格等人的已驗證帳戶的推文。

Twitter周六表示，作案者“操縱了少量員工，并使用他們的證書”登錄工具并移交了45個帳戶的訪問權(quán)限。該公司周三表示，黑客本來可以從36個帳戶中讀取直接消息，但無法識別受影響的用戶。

熟悉Twitter安全實踐的前雇員表示，做過同樣的事情的人太多了，到2020年初超過了1000人，其中包括Cognizant這樣的承包商。

Twitter拒絕對此數(shù)字發(fā)表評論，也不會透露該數(shù)字是在黑客入侵之前還是之后有所下降。Twitter說，該公司正在尋找一個新的安全負(fù)責(zé)人，以更好地保護(hù)其系統(tǒng)安全，并培訓(xùn)員工抵御外來者的欺騙手段。Cognizant沒有回應(yīng)置評請求。

AT&T前首席安全官愛德華·阿莫羅索(Edward Amoroso)說：“這聽起來好像有太多人可以進(jìn)入。”工作人員的職責(zé)應(yīng)該分開，訪問權(quán)限僅限于這些職責(zé)，并且需要超過一個人同意進(jìn)行最敏感的帳戶更改。“為了正確地進(jìn)行網(wǎng)絡(luò)安全，您不能忘記無聊的事情。”

網(wǎng)絡(luò)安全專家說，內(nèi)部人員的威脅，特別是低薪的外部支持人員的威脅，一直是為服務(wù)大量用戶的公司帶來的擔(dān)憂。他們說，可以更改關(guān)鍵設(shè)置的人數(shù)越多，監(jiān)督就必須越強(qiáng)。

絆倒

這位前雇員表示，在經(jīng)歷先前的失誤之后，Twitter的日志記錄有所改善，包括去年11月被指控為沙特阿拉伯政府從事間諜活動的一名雇員對記錄的搜索。

但是，盡管日志記錄有助于調(diào)查，但只有警報或不斷的審核才能將日志變成可以防止違規(guī)的內(nèi)容。

思科系統(tǒng)公司前首席安全官約翰·斯圖爾特(John Stewart)表示，具有廣泛訪問權(quán)限的公司需要采取一系列緩解措施，并“最終(確保)最強(qiáng)大的授權(quán)人員只能按照他們的預(yù)期去做。”

尚不清楚究竟是誰真正發(fā)起了這次黑客大潮，但外部研究人員(如221B部門的艾莉森·尼克松)表示，此事件似乎與一群定期交易新穎性標(biāo)志(尤其是一到兩個字符的帳戶名稱)的網(wǎng)絡(luò)犯罪分子有關(guān)。有點像在線世界的虛榮車牌。

盡管將黑客與這些人聯(lián)系在一起的公開證據(jù)是偶然的，但超短的Twitter句柄是最早被劫持的人之一。

另外，StopSIMCrime的分析師Nixon和Nick Bax說，長期以來，這些黑客活躍的論壇上充斥著