2020年7月15日晚上,Twitter使用者实时观看了近年来发生的最引人注目的攻击,其中攻击者从大约130名名人,政客和科技行业的账户中发送了一系列欺诈性推文灯具。承诺向发送到比特币地址的每1,000美元提供2,000美元的推文。对于所有企业来说,这里有许多重要的教训,但是其中一个特别突出。
根据政府的刑事投诉,攻击者获得了400多次转账,总金额超过10万美元。诉讼还证实了许多人已经怀疑的事情,并且社会工程手Twitter攻击是技术和段的混合。诉讼还显示,据称三名被指控者中的其中之一于2020年5月3日获得了对Twitter应用程序的访问权限,尤其值得注意的是Twitter Slack工作区,然后利用该访问权限更深入地进入了Twitter的系统。
根据Twitter 关于此事件的持续博客更新,攻击者随后进入内部系统,以电话鱼叉式网络钓鱼攻击为目标的一组雇员。他们希望获得访问用于管理用户帐户的系统所需的凭据。尽管“并非所有最初针对的员工都有权使用用户帐户管理工具,但攻击者确实设法使用其凭据来访问我们的内部系统并获取有关我们流程的信息。然后,这些知识使他们能够将目标锁定为其他确实可以使用我们的帐户支持工具的员工。” Twitter解释说。
Twitter写道,使用这些凭据,攻击者便能够访问内部Twitter帐户管理和支持工具,从而使攻击成为可能。根据Twitter的说法,“对帐户的访问受到严格限制,并且仅出于有效的商业原因才被授予。
“我们对滥用凭证或工具的容忍度为零,积极监控滥用情况,定期审核权限,如果有人在没有正当商业理由的情况下访问帐户信息,则立即采取行动。在这些工具,控件和流程不断更新和改进的同时,我们正在认真研究如何使它们变得更加复杂。”
这不是Twitter第一次遭受备受瞩目的内部攻击。2019年11月,美国司法部指控一对前Twitter员工使用其帐户特权监视Twitter用户并将该信息提供给沙特政府。刑事申诉说,内部人员当时很容易滥用其访问权限。据The Verge 报道,由于美国试图撤销对被指控从事沙特间谍活动的前Twitter员工的指控,因此被告的法律命运尚不清楚。[符合要求]
当时,Twitter 在一份声明中表示,该公司“将访问敏感帐户信息的权限限制为经过培训的经过审查的有限员工”,并且他们“拥有适当的工具来保护自己的隐私和执行重要工作的能力。”
7月15日的攻击表明该公司还有更多工作要做,并且自从最近的攻击以来,Twitter承诺将做到这一点。他们在声明中说,他们正在寻找改善的方法。Twitter表示:“我们一直在投资于增加的安全协议,技术和机制,这是我们在威胁不断发展时保持领先地位的方式。” “展望未来,我们正在加快一些现有的安全工作流程并改进我们的工具。我们还在改进我们的方法,以检测和防止对内部系统的不当访问,并优先处理我们许多团队中的安全工作。全年,我们将继续组织正在进行的全公司网络钓鱼活动。”
Twitter补充说,这次攻击很大程度上依赖于社会工程技术,这“显着提醒我们团队中的每个人在保护我们的服务中有多么重要。我们认真对待这一责任,Twitter上的每个人都致力于确保您的信息安全。”
“我们将继续分享我们所采取的更新和预防步骤,以便其他人也可以从中学到。我们认识到您对我们的信任,并承诺在发生此类事件时通过持续的公开,诚实和及时的更新来赢得信任。” Twitter继续说道。
作为全球实时有线服务,Twitter确实需要在阻止此类攻击方面做得更好。但公平地说,这种攻击可能会更加糟糕,不仅是因为攻击者本来可以利用他们的访问权进行比比特币欺诈更有害的事情。他们本可以利用对VIP帐户的访问来传播虚假信息,并可能激怒知道什么混乱和混乱的人。但是Twitter本身的反应相对较好。违反帐户的数量限制为130,访问其数据的帐户数量也限制为130。如果Twitter无法设法关闭攻击者(采取一些戏剧性的步骤,例如阻止对已验证帐户的访问),则攻击可能会更加严重,并且持续时间更长。
这里有一些针对企业的课程,但对我来说尤其突出。是的,企业在减少对特权帐户的访问方面需要尽其所能。他们需要监视用户和应用程序的异常行为。特权帐户或具有增强访问权限的帐户应通过多因素身份验证进行保护。而且,用户当然需要安全意识培训,并应定期提醒他们保持警惕。Twitter似乎在做所有这些事情(如果不是全部的话)最多。
这使得Twitter违规事件提醒人们,企业可以做所有这些事情,并且可以合理有效地进行操作,但仍然会遭到入侵。这使得企业不仅必须采取这些防御措施,而且还必须制定事件响应计划以及执行该计划的能力,这是至关重要的,因为尽管采取了所有预防措施,但在某些时候可能出错的地方都会出错。
来源:freebuf.com 2020-08-07 10:37:34 by: 比特梵德中国
请登录后发表评论
注册