圖：Twitter 創(chuàng)始人兼首席執(zhí)行官杰克·多西

　　騰訊科技訊，7 月 24 日，據(jù)外媒報(bào)道，兩名前員工透露，截至今年早些時(shí)候，超過 1000 名 Twitter 員工和承包商擁有訪問內(nèi)部工具的權(quán)限，這些工具可能會(huì)用于更改用戶賬戶設(shè)置，并將控制權(quán)交給其他人，這使得防御上周發(fā)生的黑客攻擊變得更加困難。

　　Twitter 和美國聯(lián)邦調(diào)查局正在調(diào)查黑客通過民主黨總統(tǒng)候選人喬·拜登（Joe Biden）、億萬富翁慈善家比爾·蓋茨（Bill Gates）、特斯拉首席執(zhí)行官埃隆·馬斯克（Elon Musk）和前紐約市長邁克·布隆伯格（Mike Bloomberg）等人的驗(yàn)證賬戶，反復(fù)發(fā)布欺詐行推文的事件。

　　Twitter 上周六表示，黑客“操縱了少數(shù)員工，并利用他們的憑證”登錄內(nèi)部工具，獲得了 45 個(gè)賬戶的訪問權(quán)限。美國當(dāng)?shù)貢r(shí)間周三，Twitter 聲稱，黑客可能讀取了 36 個(gè)賬戶的用戶私信，但沒有確認(rèn)受影響的用戶身份。熟悉 Twitter 安全做法的前員工表示，太多人可能擁有內(nèi)部權(quán)限。截至 2020 年早些時(shí)候，已經(jīng)有 1000 多人有這樣的權(quán)限，其中包括像 Cognizant 這樣的承包商。

　　Twitter 拒絕對這個(gè)數(shù)字發(fā)表評論，也不愿透露這個(gè)數(shù)字在黑客入侵之前或之后是否已經(jīng)下降。Twitter 表示，該公司正在尋找一名新的安全主管，致力于更好地保護(hù)其系統(tǒng)，并培訓(xùn)員工抵御外界的侵襲。Cogizant 沒有回復(fù)記者的置評請求。

　　美國運(yùn)營商 AT&T前首席安全官愛德華·阿莫羅索(Edward Amoroso)說：“聽起來，擁有內(nèi)部訪問權(quán)限的人太多了。”員工之間本應(yīng)各盡其責(zé)，而內(nèi)部訪問權(quán)限也應(yīng)僅限于少數(shù)人，而且需要不止一個(gè)人同意進(jìn)行最敏感的賬戶更改。阿莫羅索稱：“要確保網(wǎng)絡(luò)安全，不能忘了枯燥乏味的事情。”

　　網(wǎng)絡(luò)安全專家表示，來自內(nèi)部人員的威脅，特別是薪酬較低的外部支持人員，是服務(wù)于大量用戶的公司的持續(xù)擔(dān)憂。他們說，可以改變關(guān)鍵設(shè)置的人越多，監(jiān)管就必須越強(qiáng)。

　　這些前員工表示，在經(jīng)歷了之前的失誤之后，Twitter 在記錄員工活動(dòng)方面已經(jīng)變得更好了，其中包括去年 11 月被控為沙特政府從事間諜活動(dòng)的一名員工對相關(guān)記錄的搜索。但是，雖然日志記錄有助于調(diào)查，但只有警報(bào)或持續(xù)的審查才能將日志轉(zhuǎn)變?yōu)榭梢苑乐谷肭值臇|西。

　　前思科系統(tǒng)公司(Cisco Systems)首席安全官約翰·斯圖爾特(John Stewart)表示，擁有廣泛訪問權(quán)限的公司需要采取一系列預(yù)防和保障措施，并“最終確保最有權(quán)勢的授權(quán)人員只做他們應(yīng)該做的事情”。

　　目前還不清楚到底是誰實(shí)施了這場黑客襲擊，但 Unit 221B 的艾莉森·尼克松(Allison Nixon)等外部研究人員表示，這起事件似乎與一群網(wǎng)絡(luò)罪犯有關(guān)，他們經(jīng)常交易新奇的用戶名，特別是罕見的、擁有一兩個(gè)字符的賬戶名稱，這些用戶名被視為網(wǎng)絡(luò)界的最高榮譽(yù)。

　　盡管將黑客攻擊與這些事件聯(lián)系在一起的公開證據(jù)是間接的，但超短的 Twitter 賬戶是首批被劫持的賬戶之一。

　　此外，尼克松和 StopSIMCritical 分析師尼克·巴克斯(Nick Bax)表示，這些黑客活躍的論壇長期以來一直充斥著關(guān)于可以接觸 Twitter 內(nèi)部人士的信息。StopSIMCritical 是個(gè)游說組織，旨在游說加強(qiáng)對“SIM 交換”的保護(hù)。“SIM 交換”是這類黑客經(jīng)常使用的一種電話號碼劫持技術(shù)。

　　巴克斯說，早在 2017 年，他就在論壇上看到有人提到“Twitter 插件”或“Twitter 代表”，這是用來描述與外部合作的 Twitter 內(nèi)部員工的術(shù)語。

　　低級別網(wǎng)絡(luò)罪犯的潛在參與尤其讓專業(yè)人士感到震驚，因?yàn)檫@意味著敵對政府可能會(huì)造成更大的破壞。兩年前，一名流氓雇員短暫刪除了唐納德·特朗普(Donald Trump)總統(tǒng)的賬戶，之后國家領(lǐng)導(dǎo)人的賬戶訪問權(quán)限被限制在數(shù)量更少的人手中。這可以解釋為什么拜登的賬戶被劫持，而特朗普的賬戶卻安然無恙的原因。

　　前 Twitter 安全工程師約翰·亞當(dāng)斯(John Adams)表示，Twitter 應(yīng)該擴(kuò)大受保護(hù)賬戶的數(shù)量。其中，粉絲超過 1 萬人的賬戶至少需要兩個(gè)人才能更改密鑰設(shè)置。

　　安全專家表示，他們擔(dān)心 Twitter 在 11 月 3 日美國大選的競選活動(dòng)加劇之前有太多的工作要做，而時(shí)間又太少，這可能會(huì)在國內(nèi)和其他國家產(chǎn)生影響。

　　網(wǎng)絡(luò)安全投資人羅恩·古拉(Ron Gula)是網(wǎng)絡(luò)安全公司 Tenable 的聯(lián)合創(chuàng)始人，他說：“真正的問題是：當(dāng)我們的總統(tǒng)候選人和新聞媒體面臨復(fù)雜的威脅時(shí)，Twitter 是否采取了足夠的措施來防止我們的總統(tǒng)候選人和新聞機(jī)構(gòu)的賬戶被劫持？”

　　在周四討論公司業(yè)績的電話會(huì)議上，Twitter 首席執(zhí)行官杰克·多西(Jack Dorsey)承認(rèn)了過去的失誤。他告訴投資者：“上周對我們推特所有人來說真的是艱難的一周，我們對發(fā)生安全事件感到非常難過，這起事件對我們服務(wù)的人和他們對我們的信任產(chǎn)生了負(fù)面影響。安全沒有終點(diǎn)，這是個(gè)持續(xù)不斷的迭代的過程，以保持領(lǐng)先于對手的步伐。然而我們現(xiàn)在落后了，無論是在我們對員工進(jìn)行社會(huì)工程的保護(hù)方面，還是在對我們內(nèi)部工具的限制方面。”

　　多西說，Twitter 正在尋找其他賺錢的方式，包括可能的訂閱模式。他幾乎沒有提供消費(fèi)者可能會(huì)為什么買單的細(xì)節(jié)，只是說公司還處于“非常、非常早期的探索階段”。對于何時(shí)要求消費(fèi)者為 Twitter 的某些方面付費(fèi)，Twitter 有很高的門檻兒。本月早些時(shí)候，在 Twitter 的一篇招聘帖子提到一款訂閱產(chǎn)品后，有關(guān)可能的訂閱業(yè)務(wù)的猜測逐漸浮出水面。（騰訊科技審校/金鹿）

總結(jié)

以上是生活随笔為你收集整理的Twitter被曝逾千名员工拥有内部权限 可协助黑客入侵帐号的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。