Twitter: geen bewijs dat aanvallers toegang tot wachtwoorden hadden
Er is geen bewijs dat de aanvallers die gisterenavond allerlei Twitteraccounts wisten over te nemen toegang tot wachtwoorden van de betreffende accounts hadden. Het is voor zover bekend dan ook niet nodig om wachtwoorden te resetten, zo heeft Twitter in een update over het incident laten weten.
Twitteraccounts van allerlei bedrijven en beroemdheden werden gebruikt voor een bitcoin-scam. Accounts van onder andere de Amerikaanse presidentskandidaat Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Kanye West, Barack Obama, Warren Buffet, Uber, Apple en bitcoinbeurzen Bitfinex, Gemini, en Coinbase lieten weten dat wie een bedrag aan een opgegeven bitcoin-adres overmaakte, het dubbele bedrag zou terugkrijgen.
Volgens Twitter was er sprake van een "gecoördineerde social engineering-aanval" op medewerkers die toegang tot interne systemen en tools hadden. De aanval was succesvol waardoor de aanvallers via deze systemen de accounts konden overnemen en in hun naam konden tweeten.
Uit voorzorg besloot Twitter om alle accounts te vergrendelen die hadden geprobeerd om hun accountwachtwoord de afgelopen dertig dagen te wijzigen. Op de accounts na die nog steeds zijn vergrendeld kunnen Twittergebruikers weer hun wachtwoorden resetten. In het geval accounts waren vergrendeld wil dit niet zeggen dat de aanvallers die accounts hebben gecompromitteerd, stelt Twitter.
Op dit moment denkt het bedrijf dat alleen een klein deel van de vergrendelde accounts is gecompromitteerd. Het onderzoek loopt echter nog en de microbloggingdienst zal alle getroffen gebruikers informeren. Twitter is nu bezig om gebruikers weer toegang te geven tot accounts die uit voorzorg werden vergrendeld. Verdere details over de aanval zelf en of medewerkers van Twitter zijn omgekocht om de aanvallers toegang te geven, zoals sommige bronnen beweren, zijn niet gegeven.
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid monitort de situatie rond de aanval op Twitter. Het NCSC adviseert gebruikers van Twitter het berichtenverkeer op hun account in de gaten te houden. Bij misbruik wordt geadviseerd om contact op te nemen met Twitter.
Feit blijft dat Interne admin tools compromised zijn. Waarschijnlijk zat men al in de systemen tijden voordat de BTC scam zichtbaar werd.
Dus wat twitter ook zegt en doet je systeem is compromised ! Je kan never nooit nu 100% garanderen dat er verder niets aan de hand is...
Op naar de volgende puinhoop in IT land want digitaal is alles beter LOL
NCSC monitort situatie Twitter-hack..... die willen ook nog even laten zien dat men zogenaamd alles bewaakt ? Wat doen ze dan ? meelezen met met @twittersupport ... nou applaus hoor, dat deden een beetje IT-minded mensen al vanaf 15-07 23:30
Zeg dan gewoon nilks.
En ook lekker op tijd ook 16-07 om 21:55
Maar bovenstaanden twee stukken tekst gaan tegen elkaar in.
1. Het is niet nodig om wachtwoorden te resetten.
2. Om de account die vergrendeld was en weer is geopend te kunnen gaan hergebruiken moet je je wachtwoord resetten.
Wat is het nou?
Maar bovenstaanden twee stukken tekst gaan tegen elkaar in.
1. Het is niet nodig om wachtwoorden te resetten.
2. Om de account die vergrendeld was en weer is geopend te kunnen gaan hergebruiken moet je je wachtwoord resetten.
Wat is het nou?
Posten met admin rights op andermans twitter account. Zelfde manier hoe Microsoft en Google je recovery key kan resetten.
Maar bovenstaanden twee stukken tekst gaan tegen elkaar in.
1. Het is niet nodig om wachtwoorden te resetten.
2. Om de account die vergrendeld was en weer is geopend te kunnen gaan hergebruiken moet je je wachtwoord resetten.
Wat is het nou?
3. je leest het niet goed.
Er staat niet dat ze het moeten resetten, er staat dat ze het voorlopig even niet kunnen resetten.
Ik neem aan om te voorkomen dat een aanvaller die zonder wachtwoord binnen gekomen is, dat wachtwoord vervolgens
kan resetten waarna de oorspronkelijke eigenaar er niet meer in kan.
En hoe je eventueel bij een account kunt zonder het wachtwoord te hebben dat is in de andere topics al uitgebreid besproken.
Ik blijf het vreemd en verdacht vinden dat het Twitter-account van Donald Trump niet is gehackt/misbruikt.
Ik blijf het vreemd en verdacht vinden dat het Twitter-account van Donald Trump niet is gehackt/misbruikt.
Je bent een beetje wereldvreemd, he ?
Er zijn hackers die hun gok met de politie wel durven nemen, maar liever niet met de Secret Service - en het nogal grote verschil in mogelijke strafmaat tussen 'twitter hack' en 'national security incident' .
3. je leest het niet goed.
Er staat niet dat ze het moeten resetten, er staat dat ze het voorlopig even niet kunnen resetten.
Op de accounts na die nog steeds zijn vergrendeld kunnen Twittergebruikers weer hun wachtwoorden resetten.
Er staat dat een aantal accounts nog vergrendeld zijn, maar dat de rest hun wachtwoord weer kunnen resetten. Maar dat zou niet nodig zijn want die waren niet gecompromitteerd.
Maar goed, niet moeten, maar kunnen.
Uit het nieuwe bericht blijkt dat je dat wachtwoord maar beter wel reset want de crackers hadden dat ook al gedaan.
https://www.security.nl/posting/664856/Twitter%3A+aanvallers+hebben+van+acht+accounts+data+gedownload
Bij 45 accounts lukte het de aanvallers om een wachtwoordreset uit te voeren, op het account in te loggen en tweets te versturen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
