首页 > 安全资讯 > 行业动态 > 正文

大规模黑客攻击之前 Twitter员工已在监视名人

TechWeb.com.cn 匀琳 2020-07-28 11:25:21

7月28日早间消息,7月15日,Twitter遭遇大规模黑客攻击,平台上一些备受关注的认证账户被黑客控制发布诈骗比特币的推文。但最近,一份报告显示,在发生那次黑客攻击的数年前,Twitter合同工显然已经可以使用该公司的内部工具监视包括碧昂丝在内的一些名人。

据报道,涉及的工具主要允许Twitter员工执行诸如重置账号或处理违规内容之类的事情,但这些工具很显然也可以被用来监视或攻击某个账户。报道称:“这些控制有很多漏洞,以至于在2017年和2018年的某些时候,一些合同工甚至用假的技术支持服务查询,来偷窥名人账户,其中包括碧昂丝的账户,他们跟踪明星的个人数据,比如从他们设备的IP地址查到的大概位置等。”报道还说,在Twitter上,监听用户账户的行为尤其猖獗,导致Twitter在美国的全职安全团队“难以跟踪攻击情况”。

其中部分合同工受雇于专业服务供应商Cognizant。Cognizant目前仍与Twitter有合作。一名Twitter发言人表示,超过1500名全职员工和合同工有权限更改用户账户。他说:“没有迹象显示,与我们合作的客户服务和账户管理合作伙伴参与了”本月发生的攻击事件。

Twitter已经公开称,该公司的一些工具在7月15日的黑客攻击事件中被攻击利用,还说那是“协调的社会工程攻击”的一部分,即针对有权访问内部工具的员工发起的攻击。黑客至少给一名Twitter员工打电话,试图“获取能让他们访问Twitter内部用户支持工具的安全信息”。但黑客究竟是如何成功访问Twitter内部工具的,仍然是一个谜。此前有报道称,参与攻击事件的某个人在Twitter的内部Slack频道瞥见了访问工具的凭据,因而得以访问这些工具。另一个说法则是,有人表示他们买通了Twitter的员工。

Twitter称,滥用Twitter内部工具的惩罚包括终止劳动合同。

另外,报道还指出,从2015年到2019年,几乎每年,都有人向公司董事会提出有关Twitter账户的安全问题。但这些问题并非总是被视为对Twitter安全或该公司用户隐私的一个紧急威胁。

展开更多