两名前Twitter员工表示,截至2020年初,已有1000多名员工和承包商可以使用内部工具来更改账户设置和所有权

2020-07-24 08:01:39

旧金山(路透社)-两名前员工表示,截至今年早些时候,超过1000名Twitter员工和承包商可以访问内部工具,这些工具可能会更改用户账户设置,并将控制权交给其他人,这使得防御上周发生的黑客攻击变得困难。

推特公司(TWTR.N)和联邦调查局(FBI)正在调查这起入侵事件,该事件允许黑客从民主党总统候选人乔·拜登(Joe Biden)、亿万富翁慈善家比尔·盖茨(Bill Gates)、特斯拉(Tesla)首席执行官埃隆·马斯克(Elon Musk)和前纽约市长迈克·布隆伯格(Mike Bloomberg)等人的验证账户中反复发布推文。

Twitter上周六表示,肇事者操纵了一小部分员工,并利用他们的凭证登录了工具,并交出了45个账户的访问权。周三,该公司在这里表示,黑客可能读取了36个账户的直接信息,但没有识别受影响的用户。

熟悉Twitter安全做法的前员工表示,太多人可能会做同样的事情,截至2020年早些时候,已经有1000多人,其中包括一些像Cognizant这样的承包商。

Twitter拒绝对这一数字发表评论,也不愿透露这一数字是在黑客入侵之前还是之后下降的。Twitter表示,该公司正在寻找一名新的安全主管,致力于更好地保护其系统,并培训员工抵御外界的诡计。Cogizant没有回复记者的置评请求。

美国电话电报公司(AT&;T;)前首席安全官爱德华·阿莫罗索(Edward Amoroso)表示:“这听起来拥有访问权限的人太多了。”员工之间的职责本应分开,访问权限仅限于这些职责,而且需要不止一个人同意进行最敏感的账户更改。“要把网络安全做好,不能忘了枯燥乏味的事情.”

网络安全专家表示,来自内部人员的威胁,特别是薪酬较低的外部支持人员,是服务于大量用户的公司的持续担忧。他们说,可以改变关键设置的人越多,监管就必须越强。

这些前员工表示,在经历了之前的失误之后,Twitter在记录员工活动方面已经变得更好了,其中包括去年11月被控为沙特阿拉伯政府从事间谍活动的一名员工对记录的搜索。

但是,虽然日志记录有助于调查,但只有警报或持续的审查才能将日志转变为可以防止入侵的东西。

前思科系统公司(Cisco Systems)首席安全官约翰·斯图尔特(John Stewart)表示,拥有广泛访问权限的公司需要采取一系列缓解措施,并“最终确保最有权势的授权人员只做他们应该做的事情。”

目前还不清楚到底是谁实施了这场黑客狂潮,但221B部队的艾莉森·尼克松(Allison Nixon)等外部研究人员表示,这起事件似乎与一群网络罪犯有关,他们经常交易新奇的用户名-特别是罕见的一两个字符的账号名称-这些用户名被视为网络世界的虚荣车牌。

尽管将黑客攻击与这些事件联系在一起的公开证据是间接的,但超短的Twitter账号是首批被劫持的人之一。

此外,尼克松(Nixon)和StopSIMCritical分析师尼克·巴克斯(Nick Bax)表示,这些黑客活跃的论坛长期以来一直充斥着关于可以接触Twitter内部人士的吹嘘。StopSIMCritical是一个游说组织,旨在游说加强对“SIM交换”的保护。“SIM交换”是这类黑客经常使用的一种电话号码劫持技术。

Bax说,早在2017年,他就在论坛上看到有人提到“Twitter插件”或“Twitter代表”-这是用来描述合作的Twitter员工的术语。

低级别网络罪犯的潜在参与尤其让专业人士感到震惊,因为这意味着敌对政府可能会造成更大的破坏。

两年前,一名流氓雇员短暂删除了唐纳德·特朗普(Donald Trump)总统的账户,之后,国家领导人的账户访问权限被限制在数量少得多的人手中。这可以解释为什么拜登的账户被劫持,而特朗普的账户没有被劫持。

前Twitter安全工程师约翰·亚当斯(John Adams)表示,Twitter应该扩大受保护账户的数量。其中,粉丝超过1万人的账户至少需要两个人才能更改密钥设置。

安全专家表示,他们担心Twitter在11月3日美国大选的竞选活动加剧之前有太多的工作要做,而时间又太少,这可能会在国内和其他国家产生推论。

网络安全投资人罗恩·古拉(Ron Gula)是网络安全公司Tenable的联合创始人,他说,“真正的问题是:当我们的总统候选人和新闻媒体面临复杂的威胁时,Twitter是否采取了足够的措施来防止我们的总统候选人和新闻机构的账户被接管?”

在周四讨论公司收益的电话会议上,Twitter首席执行长杰克·多尔西(Jack Dorsey)承认了过去的失误。

多尔西告诉投资者:“我们落后了,无论是在我们对员工进行社会工程的保护方面,还是在对我们内部工具的限制方面。”