Reuters: duizend Twittermedewerkers konden accountinstellingen aanpassen
Meer dan duizend medewerkers van Twitter hadden de mogelijkheid om via interne supporttools de instellingen van accounts aan te passen, zoals het uitschakelen van tweefactorauthenticatie en het veranderen van het e-mailadres, zo laten twee voormalige medewerkers aan persbureau Reuters weten.
Door het aanpassen van dergelijke accountinstellingen is het mogelijk om anderen toegang tot een account te geven. Twitter liet dit weekend weten dat bij de aanval van vorige week aanvallers toegang hadden gekregen tot de inloggegevens van medewerkers waarmee kon worden ingelogd op interne supporttools. Met deze toegang werd voor 45 accounts een ander e-mailadres ingesteld, en waar nodig tweefactorauthenticatie uitgeschakeld. Vervolgens werd er een wachtwoordreset uitgevoerd. De aanvallers kregen zo toegang tot de accounts.
Kort na de aanval liet Twitter weten dat het de toegang van medewerkers tot de interne supporttools had beperkt. De voormalige medewerkers stellen dat Twitter naar aanleiding van eerdere incidenten wel het loggen van wat medewerkers doen heeft verbeterd. Tijdens een gesprek met investeerders maakte Twitter-ceo Jack Dorsey excuses, zo meldt The Washington Post. "We zijn tekort geschoten in onze bescherming tegen social engineering van onze medewerkers en het instellen van beperkingen voor onze interne tools", aldus de topman.
In een brief aan aandeelhouders laat Twitter weten dat het stappen heeft genomen om de weerbaarheid tegen social engineering van medewerkers te verbeteren (pdf). Ook zijn er "tal van maatregelen" doorgevoerd om de veiligheid van interne systemen te verbeteren en wordt er met opsporingsdiensten samengewerkt in het onderzoek naar de aanval. Specifieke details over de genomen maatregelen worden echter niet gegeven.
Google verplicht al jaren 2FA voor al haar personeel. Misschien ook iets voor Twitter medewerkers?
Dat is 1 admin per 300000 gebruikers, zitten jullie daar boven of onder?
Denk je dat het veel zou uitmaken als die 1000 mensen hun verzoeken allemaal naar 3-10 admins moesten doorsturen
die die stapel dan zouden moeten verwerken?
Wat een domme analogie.
Vergelijkheid het met 1000 helpdeskers voor een userbase van honderden miljoenen gebruikers.
Of worden bij jullie de password reset gevalletjes allemaal door domain admins gedaan ?
Google verplicht al jaren 2FA voor al haar personeel. Misschien ook iets voor Twitter medewerkers?
Als ze dat niet hebben is het zeker een goed idee. Maar social engineering blijft lastig. En omkoping ook.
Bij CEO fraude wordt de boekhouding verleid (om gebruik van alle 2-en-meer factoren) geld over te boeken.
Het is niet onvoorstelbaar dat bij twitter-admin-fraude de engineer verleidt wordt tot een onhandige actie (met Jack Dorsey, ik sta op de golfbaan maar je moet NU een password reset doen). En dat braaf met z'n 2 factoren doet.
Dat is 1 admin per 300000 gebruikers, zitten jullie daar boven of onder?
Denk je dat het veel zou uitmaken als die 1000 mensen hun verzoeken allemaal naar 3-10 admins moesten doorsturen
die die stapel dan zouden moeten verwerken?
Heeft Twitter 300 miljoen medewerkers? Nooit geweten dat het zo'n groot bedrijf was ;-)
Inderdaad en dan hebben we het voor het gemak maar over serviceaccounts (met wachtwoorden die jarenlang niet gereset zijn. En domain admin accounts waarvan wachtwoorden eveneens jarenlang niet gereset zijn of local admin accounts..idem.
En ingewijden weten direct welk bedrijf ik dan bedoel. Een bedrijf wat al jarenlang de ICT verricht voor derden.
Ze zoeken het maar uit. Ik ben er klaar mee. Wie niet luisteren wil moet maar voelen. Maar schande is het wel. Alle eer naar het management.
Goed tegen corona besmettingen en corrupte medewerkers en doorgeschoten burgers. Voor QR code kan je voor dit soort gevallen gelijkaardige time-locked IT-varianten verzinnen. Je moet zorgen dat deze onbetrouwbare medewerkers en/of ondergeschoven criminelen geen kans meer krijgen. Als het op deze manier niet kan. Dan maar op de Hong Kong Mainland manier. Geef ze een veiligheidssleutel, die ze kan beschermen, maar ook kan 'vernaggelen' in geval van overtredingen van de duidelijk gestelde regels.
Het is als met de onzichtbare wachter in de gevagenistoren. De inmates weten niet of ie er is of niet, maar houden er al wel rekening mee. Het werkt en werkt psychologisch altijd.. Als er een gerede kans is dat je gepakt "kan" worden, laten de meesten overtreders het wel uit hun hoofd. Daarom liep de man te bonken op de zak met ratten, die ie op z'n rug had. "Waarom?" doet u dat was de vraag. Antwoord: "Omdat ze dan elkaar bijten en niet mij",
Jodocus Oyevaer
Twitter krijgt een slag om de oren,
er is werk aan de winkel en snel!
Voor mensen die gebruik maken van twitter
denk eens na,wellicht stoppen of een alternatief.
The Matrix
Dat is 1 admin per 300000 gebruikers, zitten jullie daar boven of onder?
Denk je dat het veel zou uitmaken als die 1000 mensen hun verzoeken allemaal naar 3-10 admins moesten doorsturen
die die stapel dan zouden moeten verwerken?
Heeft Twitter 300 miljoen medewerkers? Nooit geweten dat het zo'n groot bedrijf was ;-)
Twitter heeft meer dan 300 miljoen gebruikers, Met wachtwoorden en 2FA mogelijkheid.
Dat is net zo als wanneer je admin bent bij een bedrijf met 300 miljoen medewerkers waarvan je dit soort dingen moet
beheren. Als je 30 medewerkers hebt dan denk je dat dit simpel is, als je 300 medewerkers hebt wordt het iets lastiger
maar is het met wat procedures nog wel te regelen, maar bij 300 miljoen wordt het toch wel een ander geval.
Je kunt dan denken "ik heb een eerste lijn waar de mensen aan de telefoon zitten die de geldigheid van de aanvraag
beoordelen en die zetten die dan door naar een 2e lijn waar de mensen het echt uitvoeren" maar die 2e lijn krijgt
dan aanvragen binnen waarvan ze maar moeten aannemen dat ze OK zijn en dan zal er niet veel meer te checken
zijn, hooguit nog "aantallen". Dus dan kan zo'n 1e lijn medewerker, ook als die zelf niets kan aanpassen, evengoed
nog wel een collectie instellingen doorzetten om uitgevoerd te worden. Pas als dat er veel meer zijn dan gebruikelijk
gaat dat wellicht een 2e lijn medewerker een keer opvallen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
