圖：Twitter 創(chuàng)始人兼首席執(zhí)行官杰克·多西

　　騰訊科技訊，7 月 24 日，據外媒報道，兩名前員工透露，截至今年早些時候，超過 1000 名 Twitter 員工和承包商擁有訪問內部工具的權限，這些工具可能會用于更改用戶賬戶設置，并將控制權交給其他人，這使得防御上周發(fā)生的黑客攻擊變得更加困難。

　　Twitter 和美國聯(lián)邦調查局正在調查黑客通過民主黨總統(tǒng)候選人喬·拜登（Joe Biden）、億萬富翁慈善家比爾·蓋茨（Bill Gates）、特斯拉首席執(zhí)行官埃隆·馬斯克（Elon Musk）和前紐約市長邁克·布隆伯格（Mike Bloomberg）等人的驗證賬戶，反復發(fā)布欺詐行推文的事件。

　　Twitter 上周六表示，黑客“操縱了少數(shù)員工，并利用他們的憑證”登錄內部工具，獲得了 45 個賬戶的訪問權限。美國當?shù)貢r間周三，Twitter 聲稱，黑客可能讀取了 36 個賬戶的用戶私信，但沒有確認受影響的用戶身份。熟悉 Twitter 安全做法的前員工表示，太多人可能擁有內部權限。截至 2020 年早些時候，已經有 1000 多人有這樣的權限，其中包括像 Cognizant 這樣的承包商。

　　Twitter 拒絕對這個數(shù)字發(fā)表評論，也不愿透露這個數(shù)字在黑客入侵之前或之后是否已經下降。Twitter 表示，該公司正在尋找一名新的安全主管，致力于更好地保護其系統(tǒng)，并培訓員工抵御外界的侵襲。Cogizant 沒有回復記者的置評請求。

　　美國運營商 AT&T前首席安全官愛德華·阿莫羅索(Edward Amoroso)說：“聽起來，擁有內部訪問權限的人太多了。”員工之間本應各盡其責，而內部訪問權限也應僅限于少數(shù)人，而且需要不止一個人同意進行最敏感的賬戶更改。阿莫羅索稱：“要確保網絡安全，不能忘了枯燥乏味的事情。”

　　網絡安全專家表示，來自內部人員的威脅，特別是薪酬較低的外部支持人員，是服務于大量用戶的公司的持續(xù)擔憂。他們說，可以改變關鍵設置的人越多，監(jiān)管就必須越強。

　　這些前員工表示，在經歷了之前的失誤之后，Twitter 在記錄員工活動方面已經變得更好了，其中包括去年 11 月被控為沙特政府從事間諜活動的一名員工對相關記錄的搜索。但是，雖然日志記錄有助于調查，但只有警報或持續(xù)的審查才能將日志轉變?yōu)榭梢苑乐谷肭值臇|西。

　　前思科系統(tǒng)公司(Cisco Systems)首席安全官約翰·斯圖爾特(John Stewart)表示，擁有廣泛訪問權限的公司需要采取一系列預防和保障措施，并“最終確保最有權勢的授權人員只做他們應該做的事情”。

　　目前還不清楚到底是誰實施了這場黑客襲擊，但 Unit 221B 的艾莉森·尼克松(Allison Nixon)等外部研究人員表示，這起事件似乎與一群網絡罪犯有關，他們經常交易新奇的用戶名，特別是罕見的、擁有一兩個字符的賬戶名稱，這些用戶名被視為網絡界的最高榮譽。

　　盡管將黑客攻擊與這些事件聯(lián)系在一起的公開證據是間接的，但超短的 Twitter 賬戶是首批被劫持的賬戶之一。

　　此外，尼克松和 StopSIMCritical 分析師尼克·巴克斯(Nick Bax)表示，這些黑客活躍的論壇長期以來一直充斥著關于可以接觸 Twitter 內部人士的信息。StopSIMCritical 是個游說組織，旨在游說加強對“SIM 交換”的保護。“SIM 交換”是這類黑客經常使用的一種電話號碼劫持技術。

　　巴克斯說，早在 2017 年，他就在論壇上看到有人提到“Twitter 插件”或“Twitter 代表”，這是用來描述與外部合作的 Twitter 內部員工的術語。

　　低級別網絡罪犯的潛在參與尤其讓專業(yè)人士感到震驚，因為這意味著敵對政府可能會造成更大的破壞。兩年前，一名流氓雇員短暫刪除了唐納德·特朗普(Donald Trump)總統(tǒng)的賬戶，之后國家領導人的賬戶訪問權限被限制在數(shù)量更少的人手中。這可以解釋為什么拜登的賬戶被劫持，而特朗普的賬戶卻安然無恙的原因。

　　前 Twitter 安全工程師約翰·亞當斯(John Adams)表示，Twitter 應該擴大受保護賬戶的數(shù)量。其中，粉絲超過 1 萬人的賬戶至少需要兩個人才能更改密鑰設置。

　　安全專家表示，他們擔心 Twitter 在 11 月 3 日美國大選的競選活動加劇之前有太多的工作要做，而時間又太少，這可能會在國內和其他國家產生影響。

　　網絡安全投資人羅恩·古拉(Ron Gula)是網絡安全公司 Tenable 的聯(lián)合創(chuàng)始人，他說：“真正的問題是：當我們的總統(tǒng)候選人和新聞媒體面臨復雜的威脅時，Twitter 是否采取了足夠的措施來防止我們的總統(tǒng)候選人和新聞機構的賬戶被劫持？”

　　在周四討論公司業(yè)績的電話會議上，Twitter 首席執(zhí)行官杰克·多西(Jack Dorsey)承認了過去的失誤。他告訴投資者：“上周對我們推特所有人來說真的是艱難的一周，我們對發(fā)生安全事件感到非常難過，這起事件對我們服務的人和他們對我們的信任產生了負面影響。安全沒有終點，這是個持續(xù)不斷的迭代的過程，以保持領先于對手的步伐。然而我們現(xiàn)在落后了，無論是在我們對員工進行社會工程的保護方面，還是在對我們內部工具的限制方面。”

　　多西說，Twitter 正在尋找其他賺錢的方式，包括可能的訂閱模式。他幾乎沒有提供消費者可能會為什么買單的細節(jié)，只是說公司還處于“非常、非常早期的探索階段”。對于何時要求消費者為 Twitter 的某些方面付費，Twitter 有很高的門檻兒。本月早些時候，在 Twitter 的一篇招聘帖子提到一款訂閱產品后，有關可能的訂閱業(yè)務的猜測逐漸浮出水面。（騰訊科技審校/金鹿）

總結

以上是生活随笔為你收集整理的Twitter被曝逾千名员工拥有内部权限 可协助黑客入侵帐号的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。