推特黑客利用“电话鱼叉钓鱼”进行大规模账户接管

2020-07-31 11:54:34

社交媒体网站Twitter周四晚间表示,本月史诗般的Twitter入侵事件背后的黑客通过“电话鱼叉式网络钓鱼攻击”攻击了一小部分员工。当被盗的员工凭据无法提供对帐户支持工具的访问权限时,黑客会瞄准拥有访问这些工具所需权限的其他员工。

Twitter官员在一篇帖子中写道:“这次攻击依赖于一次重大而协调的尝试,目的是误导某些员工,并利用人类的漏洞进入我们的内部系统。”他说:“这是一个惊人的提醒,提醒我们团队中的每一个人在保护我们的服务方面是多么重要。我们认真对待这一责任,Twitter的每个人都致力于保护您的信息安全。

周四的更新还披露,黑客从其中七个账户下载了个人数据,但没有说明是哪几个。

这篇帖子是对7月15日黑客攻击事件调查的最新进展,该事件劫持了一些世界上最知名的名人、政界人士和高管的账户,并导致他们在推特上发布了与比特币骗局的链接。账户持有人中有一小部分人,包括副总统乔·拜登、慈善家、前微软创始人、首席执行官兼董事长比尔·盖茨、特斯拉创始人埃隆·马斯克和流行歌星坎耶·韦斯特。

Twitter花了几个小时才将账户控制权交还给合法所有者。在某些情况下,即使在账户被找回后,黑客也重新控制了账户,导致入侵者和公司员工之间展开了拉锯战。

在控制了漏洞几个小时后,Twitter表示,这起事件是由于黑客失去了对其内部管理系统的控制,黑客要么付钱、欺骗或胁迫一名或多名公司员工。自那以后,公司官员定期提供最新情况。最近的一次发生在上周,当时Twitter表示,黑客利用他们的访问权限读取了36个被劫持账户的私人信息,130个受影响的用户可以看到电话号码和其他私人信息。

批评人士说,这起事件表明Twitter没有实施适当的控制措施,以防止敏感的用户信息落入公司内部人士或针对他们的人手中。Twitter誓言要调查外部人士是如何获得敏感内部系统的访问权限的,并采取措施防止未来发生类似攻击。

周四的更新为内部系统和账户工具的工作方式提供了更多的色彩。它说:

成功的攻击需要攻击者获得对我们内部网络的访问权限,以及授予他们访问我们内部支持工具权限的特定员工凭据。并非所有最初成为攻击目标的员工都拥有使用帐户管理工具的权限,但攻击者使用他们的凭据访问我们的内部系统并获取有关我们流程的信息。这一知识使他们能够锁定能够访问我们的客户支持工具的其他员工。攻击者使用有权访问这些工具的员工的凭据,将130个Twitter账户作为目标,最终从45个账户发出推文,访问36个DM收件箱,并下载7个Twitter数据。

最新消息称,自攻击事件发生以来,在调查仍在继续期间,该公司“大大”限制了员工接触内部工具和系统。这些限制主要影响到一项允许用户下载Twitter数据的功能,但其他服务也将受到暂时限制。

更新称,“我们对账户支持需求的响应速度会更慢,我们开发者平台上的应用程序也会响应得更慢。”我们对此造成的任何延误深表歉意,但我们相信这是必要的预防措施,因为我们会因这一事件而对我们的工艺和工具进行持久的更改。当我们确信这样做是安全的时,我们将逐步恢复正常的反应时间。感谢您在我们处理这件事时的耐心。“。

周四晚上的帖子还说,该公司正在加快未指明的和“预先存在的安全工作流程和对我们工具的改进”,并优先考虑各个团队的安全工作。Twitter还在改进检测和防止“不适当”访问内部系统的方法。