Более 1000 сотрудников и подрядчиков Twitter имели доступ к внутренней панели администратора, которая позволила на прошлой неделе взломать Twitter 130 высококлассных учетных записей.
По сообщению агентства Reuters, 24 июля двое бывших сотрудников пролили свет на то, насколько уязвимой была безопасность Twitter – и может быть до сих пор.Они сказали, что, помимо сотрудников, такие подрядчики, как Cognizant, также могут иметь доступ.
Бывший начальник службы безопасности AT & T Эдвард Аморосо заявил агентству Рейтер, что столь мощные средства контроля не должны быть доступны столь многим людям.
«Похоже, что слишком много людей имеют доступ», – сказал он, добавив, что персонал должен иметь ограниченные права с разделением обязанностей, а также с множеством проверок и противовесов для корректировки конфиденциальной информации.
«Чтобы сделать правильную кибербезопасность, нельзя забывать скучные вещи».
Что произошло?
15 июля злоумышленники получили доступ к админ-панели Twitter, что позволило им взять под контроль любую учетную запись Twitter, публиковать в них твиты и получать доступ к личной информации, включая личные сообщения.
Они разместили мошеннические биткоин (BTC), которые обещали отправить двойную сумму.В общем, мошенникам сходит с рук около 12 BTC.
В числе известных авторов: основатель Tesla Элон Маск, бывший президент США Барак Обама, владелец Amazon Джефф Безос, соучредитель Microsoft Билл Гейтс и кандидат в президенты США 2020 года и бывший вице-президент Джо Байден.Другие знаменитости, политики и ведущие бизнесмены также потеряли контроль над своими счетами.
Twitter и ФБР совместно работают над расследованием нарушения, регулярно публикуя в Твиттере свои выводы.23 июля компания сообщила, что «в 36 из 130 целевых учетных записей злоумышленники получили доступ к папке входящих сообщений DM, включая одного избранного сотрудника в Нидерландах».
Напомним, что: 30130 учетных записей, на которые нацелены злоумышленники ?45 учетных записей, отправленных злоумышленниками ?36 учетных записей с доступом к входящему почтовому ящику DM had8 учетных записей загружен архив «Ваших данных Twitter», ни одна из них не проверена
— Twitter Support (@TwitterSupport) July 23, 2020
https://platform.twitter.com/widgets.js
Twitter также показал, что они ищут нового руководителя по безопасности, чтобы улучшить безопасность и обучение сотрудников.
Эксперты по безопасности обеспокоены тем, что необходимые обновления безопасности и процессов в Твиттере могут быть не завершены до выборов в США 3 ноября, так как другие страны могут иметь возможность манипулировать результатами посредством захвата аккаунтов в социальных сетях.
Сетевая компания безопасности Tenable основатель Рон Гула спросил:
«Делает ли Twitter достаточно для предотвращения захвата аккаунтов наших кандидатов в президенты и новостных агентств при столкновении со сложными угрозами, которые используют общенациональные подходы?