图:Twitter 创始人兼首席执行官杰克·多西
腾讯科技讯,7 月 24 日,据外媒报道,两名前员工透露,截至今年早些时候,超过 1000 名 Twitter 员工和承包商拥有访问内部工具的权限,这些工具可能会用于更改用户账户设置,并将控制权交给其他人,这使得防御上周发生的黑客攻击变得更加困难。
Twitter 和美国联邦调查局正在调查黑客通过民主党总统候选人乔·拜登(Joe Biden)、亿万富翁慈善家比尔·盖茨(Bill Gates)、特斯拉首席执行官埃隆·马斯克(Elon Musk)和前纽约市长迈克·布隆伯格(Mike Bloomberg)等人的验证账户,反复发布欺诈行推文的事件。
Twitter 上周六表示,黑客“操纵了少数员工,并利用他们的凭证”登录内部工具,获得了 45 个账户的访问权限。美国当地时间周三,Twitter 声称,黑客可能读取了 36 个账户的用户私信,但没有确认受影响的用户身份。熟悉 Twitter 安全做法的前员工表示,太多人可能拥有内部权限。截至 2020 年早些时候,已经有 1000 多人有这样的权限,其中包括像 Cognizant 这样的承包商。
Twitter 拒绝对这个数字发表评论,也不愿透露这个数字在黑客入侵之前或之后是否已经下降。Twitter 表示,该公司正在寻找一名新的安全主管,致力于更好地保护其系统,并培训员工抵御外界的侵袭。Cogizant 没有回复记者的置评请求。
美国运营商 AT&T前首席安全官爱德华·阿莫罗索Edward Amoroso)说:“听起来,拥有内部访问权限的人太多了。”员工之间本应各尽其责,而内部访问权限也应仅限于少数人,而且需要不止一个人同意进行最敏感的账户更改。阿莫罗索称:“要确保网络安全,不能忘了枯燥乏味的事情。”
网络安全专家表示,来自内部人员的威胁,特别是薪酬较低的外部支持人员,是服务于大量用户的公司的持续担忧。他们说,可以改变关键设置的人越多,监管就必须越强。
这些前员工表示,在经历了之前的失误之后,Twitter 在记录员工活动方面已经变得更好了,其中包括去年 11 月被控为沙特政府从事间谍活动的一名员工对相关记录的搜索。但是,虽然日志记录有助于调查,但只有警报或持续的审查才能将日志转变为可以防止入侵的东西。
前思科系统公司Cisco Systems)首席安全官约翰·斯图尔特John Stewart)表示,拥有广泛访问权限的公司需要采取一系列预防和保障措施,并“最终确保最有权势的授权人员只做他们应该做的事情”。
目前还不清楚到底是谁实施了这场黑客袭击,但 Unit 221B 的艾莉森·尼克松Allison Nixon)等外部研究人员表示,这起事件似乎与一群网络罪犯有关,他们经常交易新奇的用户名,特别是罕见的、拥有一两个字符的账户名称,这些用户名被视为网络界的最高荣誉。
尽管将黑客攻击与这些事件联系在一起的公开证据是间接的,但超短的 Twitter 账户是首批被劫持的账户之一。
此外,尼克松和 StopSIMCritical 分析师尼克·巴克斯Nick Bax)表示,这些黑客活跃的论坛长期以来一直充斥着关于可以接触 Twitter 内部人士的信息。StopSIMCritical 是个游说组织,旨在游说加强对“SIM 交换”的保护。“SIM 交换”是这类黑客经常使用的一种电话号码劫持技术。
巴克斯说,早在 2017 年,他就在论坛上看到有人提到“Twitter 插件”或“Twitter 代表”,这是用来描述与外部合作的 Twitter 内部员工的术语。
低级别网络罪犯的潜在参与尤其让专业人士感到震惊,因为这意味着敌对政府可能会造成更大的破坏。两年前,一名流氓雇员短暂删除了唐纳德·特朗普Donald Trump)总统的账户,之后国家领导人的账户访问权限被限制在数量更少的人手中。这可以解释为什么拜登的账户被劫持,而特朗普的账户却安然无恙的原因。
前 Twitter 安全工程师约翰·亚当斯John Adams)表示,Twitter 应该扩大受保护账户的数量。其中,粉丝超过 1 万人的账户至少需要两个人才能更改密钥设置。
安全专家表示,他们担心 Twitter 在 11 月 3 日美国大选的竞选活动加剧之前有太多的工作要做,而时间又太少,这可能会在国内和其他国家产生影响。
网络安全投资人罗恩·古拉Ron Gula)是网络安全公司 Tenable 的联合创始人,他说:“真正的问题是:当我们的总统候选人和新闻媒体面临复杂的威胁时,Twitter 是否采取了足够的措施来防止我们的总统候选人和新闻机构的账户被劫持?”
在周四讨论公司业绩的电话会议上,Twitter 首席执行官杰克·多西Jack Dorsey)承认了过去的失误。他告诉投资者:“上周对我们推特所有人来说真的是艰难的一周,我们对发生安全事件感到非常难过,这起事件对我们服务的人和他们对我们的信任产生了负面影响。安全没有终点,这是个持续不断的迭代的过程,以保持领先于对手的步伐。然而我们现在落后了,无论是在我们对员工进行社会工程的保护方面,还是在对我们内部工具的限制方面。”
多西说,Twitter 正在寻找其他赚钱的方式,包括可能的订阅模式。他几乎没有提供消费者可能会为什么买单的细节,只是说公司还处于“非常、非常早期的探索阶段”。对于何时要求消费者为 Twitter 的某些方面付费,Twitter 有很高的门槛儿。本月早些时候,在 Twitter 的一篇招聘帖子提到一款订阅产品后,有关可能的订阅业务的猜测逐渐浮出水面。(腾讯科技审校/金鹿)