1,000名推特员工可以访问黑客可以利用的内部工具

两名前雇员表示，截至今年早些时候，超过一千名Twitter员工和承包商可以使用内部工具，这些工具可以更改用户帐户设置和对其他人的手动控制，因此很难防范发生的黑客入侵上星期。

Twitter和FBI正在调查该漏洞，该漏洞使黑客能够反复验证来自民主党总统候选人乔·拜登，亿万富翁慈善家比尔·盖茨，特斯拉首席执行官埃隆·马斯克和前纽约市长迈克·彭博格等人的已验证帐户的推文。

Twitter周六表示，作案者“操纵了少量员工，并使用他们的证书”登录工具并移交了45个帐户的访问权限。该公司周三表示，黑客本来可以从36个帐户中读取直接消息，但无法识别受影响的用户。

熟悉Twitter安全实践的前雇员表示，做过同样的事情的人太多了，到2020年初超过了1000人，其中包括Cognizant这样的承包商。

Twitter拒绝对此数字发表评论，也不会透露该数字是在黑客入侵之前还是之后有所下降。Twitter说，该公司正在寻找一个新的安全负责人，以更好地保护其系统安全，并培训员工抵御外来者的欺骗手段。Cognizant没有回应置评请求。

AT&T前首席安全官爱德华·阿莫罗索(Edward Amoroso)说：“这听起来好像有太多人可以进入。”工作人员的职责应该分开，访问权限仅限于这些职责，并且需要超过一个人同意进行最敏感的帐户更改。“为了正确地进行网络安全，您不能忘记无聊的事情。”

网络安全专家说，内部人员的威胁，特别是低薪的外部支持人员的威胁，一直是为服务大量用户的公司带来的担忧。他们说，可以更改关键设置的人数越多，监督就必须越强。

绊倒

这位前雇员表示，在经历先前的失误之后，Twitter的日志记录有所改善，包括去年11月被指控为沙特阿拉伯政府从事间谍活动的一名雇员对记录的搜索。

但是，尽管日志记录有助于调查，但只有警报或不断的审核才能将日志变成可以防止违规的内容。

思科系统公司前首席安全官约翰·斯图尔特(John Stewart)表示，具有广泛访问权限的公司需要采取一系列缓解措施，并“最终(确保)最强大的授权人员只能按照他们的预期去做。”

尚不清楚究竟是谁真正发起了这次黑客大潮，但外部研究人员(如221B部门的艾莉森·尼克松)表示，此事件似乎与一群定期交易新颖性标志(尤其是一到两个字符的帐户名称)的网络犯罪分子有关。有点像在线世界的虚荣车牌。

尽管将黑客与这些人联系在一起的公开证据是偶然的，但超短的Twitter句柄是最早被劫持的人之一。

另外，StopSIMCrime的分析师Nixon和Nick Bax说，长期以来，这些黑客活跃的论坛上充斥着与Twitter内部人员接触的荣耀，该组织游说以提供更好的保护，以防止“ SIM交换”(电话)这些黑客经常使用的数字劫持技术。

Bax表示，自2017年以来，他就已经在论坛上看到对“ Twitter插件”或“ Twitter代表”(用于描述合作Twitter员工的术语)的引用。

低级网络犯罪分子的潜在参与尤其令专业人员感到震惊，因为这意味着敌对的政府可能会造成更大的破坏。

两年前，一名流氓员工短暂删除了美国总统的帐户后，访问国家领导人帐户的人仅限于少数。这可以解释为什么拜登的账户被劫持，而不是特朗普的账户被劫持。

前Twitter安全工程师John Adams说，Twitter应该扩大受保护帐户的数量。除其他事项外，拥有超过10,000个关注者的帐户至少应需要两个人来更改关键设置。

安全专家表示，他们担心Twitter要做的工作太多，而且在11月3日美国大选加紧进行之前，时间太短，这可能会受到国内和其他国家的干扰。

网络安全公司Tenable共同创立的网络安全投资者Ron Gula说：“问题确实是：当面对利用整个国家方法的复杂威胁时，Twitter是否足以阻止我们的总统候选人和新闻媒体的帐户接管?”

在周四举行的讨论公司收益的电话会议上，Twitter首席执行官杰克·多尔西(Jack Dorsey)承认过去的失误。

Dorsey告诉投资者：“我们在保护员工免受社会工程侵害和对内部工具的限制方面均落后。”

中国联通：已累计开通5G基站33.2万站 到今年年底预计超过38万个

饿了么现已入驻1000所高校食堂 校园内平均20分钟送达

谷歌在西雅图附近规划新园区 在亚马逊和微软总部所在地扩大触角

我国国家顶级域名“.CN”数量超过2300万个 IPv6规模化部署提速

邬贺铨：截至8月我国IPv6活跃用户达3.65亿 占互联网用户之比达40.32%

苹果、谷歌、英特尔等公司已经加入行业组织美国“6G联盟”

微软今天正式终止Win7嵌入式系统支持 花钱可买三年补丁

OPPO将发布首款概念级应用OPPO CybeReal 针对AR领域