2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
兩名前雇員表示,截至今年早些時候,超過一千名Twitter員工和承包商可以使用內(nèi)部工具,這些工具可以更改用戶帳戶設(shè)置和對其他人的手動控制,因此很難防范發(fā)生的黑客入侵上星期。
Twitter和FBI正在調(diào)查該漏洞,該漏洞使黑客能夠反復(fù)驗(yàn)證來自民主黨總統(tǒng)候選人喬·拜登,億萬富翁慈善家比爾·蓋茨,特斯拉首席執(zhí)行官埃隆·馬斯克和前紐約市長邁克·彭博格等人的已驗(yàn)證帳戶的推文。
Twitter周六表示,作案者“操縱了少量員工,并使用他們的證書”登錄工具并移交了45個帳戶的訪問權(quán)限。該公司周三表示,黑客本來可以從36個帳戶中讀取直接消息,但無法識別受影響的用戶。
熟悉Twitter安全實(shí)踐的前雇員表示,做過同樣的事情的人太多了,到2020年初超過了1000人,其中包括Cognizant這樣的承包商。
Twitter拒絕對此數(shù)字發(fā)表評論,也不會透露該數(shù)字是在黑客入侵之前還是之后有所下降。Twitter說,該公司正在尋找一個新的安全負(fù)責(zé)人,以更好地保護(hù)其系統(tǒng)安全,并培訓(xùn)員工抵御外來者的欺騙手段。Cognizant沒有回應(yīng)置評請求。
AT&T前首席安全官愛德華·阿莫羅索(Edward Amoroso)說:“這聽起來好像有太多人可以進(jìn)入。”工作人員的職責(zé)應(yīng)該分開,訪問權(quán)限僅限于這些職責(zé),并且需要超過一個人同意進(jìn)行最敏感的帳戶更改。“為了正確地進(jìn)行網(wǎng)絡(luò)安全,您不能忘記無聊的事情。”
網(wǎng)絡(luò)安全專家說,內(nèi)部人員的威脅,特別是低薪的外部支持人員的威脅,一直是為服務(wù)大量用戶的公司帶來的擔(dān)憂。他們說,可以更改關(guān)鍵設(shè)置的人數(shù)越多,監(jiān)督就必須越強(qiáng)。
絆倒
這位前雇員表示,在經(jīng)歷先前的失誤之后,Twitter的日志記錄有所改善,包括去年11月被指控為沙特阿拉伯政府從事間諜活動的一名雇員對記錄的搜索。
但是,盡管日志記錄有助于調(diào)查,但只有警報或不斷的審核才能將日志變成可以防止違規(guī)的內(nèi)容。
思科系統(tǒng)公司前首席安全官約翰·斯圖爾特(John Stewart)表示,具有廣泛訪問權(quán)限的公司需要采取一系列緩解措施,并“最終(確保)最強(qiáng)大的授權(quán)人員只能按照他們的預(yù)期去做。”
尚不清楚究竟是誰真正發(fā)起了這次黑客大潮,但外部研究人員(如221B部門的艾莉森·尼克松)表示,此事件似乎與一群定期交易新穎性標(biāo)志(尤其是一到兩個字符的帳戶名稱)的網(wǎng)絡(luò)犯罪分子有關(guān)。有點(diǎn)像在線世界的虛榮車牌。
盡管將黑客與這些人聯(lián)系在一起的公開證據(jù)是偶然的,但超短的Twitter句柄是最早被劫持的人之一。
另外,StopSIMCrime的分析師Nixon和Nick Bax說,長期以來,這些黑客活躍的論壇上充斥著
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。