image

Reuters: duizend Twittermedewerkers konden accountinstellingen aanpassen

vrijdag 24 juli 2020, 09:49 door Redactie, 10 reacties

Meer dan duizend medewerkers van Twitter hadden de mogelijkheid om via interne supporttools de instellingen van accounts aan te passen, zoals het uitschakelen van tweefactorauthenticatie en het veranderen van het e-mailadres, zo laten twee voormalige medewerkers aan persbureau Reuters weten.

Door het aanpassen van dergelijke accountinstellingen is het mogelijk om anderen toegang tot een account te geven. Twitter liet dit weekend weten dat bij de aanval van vorige week aanvallers toegang hadden gekregen tot de inloggegevens van medewerkers waarmee kon worden ingelogd op interne supporttools. Met deze toegang werd voor 45 accounts een ander e-mailadres ingesteld, en waar nodig tweefactorauthenticatie uitgeschakeld. Vervolgens werd er een wachtwoordreset uitgevoerd. De aanvallers kregen zo toegang tot de accounts.

Kort na de aanval liet Twitter weten dat het de toegang van medewerkers tot de interne supporttools had beperkt. De voormalige medewerkers stellen dat Twitter naar aanleiding van eerdere incidenten wel het loggen van wat medewerkers doen heeft verbeterd. Tijdens een gesprek met investeerders maakte Twitter-ceo Jack Dorsey excuses, zo meldt The Washington Post. "We zijn tekort geschoten in onze bescherming tegen social engineering van onze medewerkers en het instellen van beperkingen voor onze interne tools", aldus de topman.

In een brief aan aandeelhouders laat Twitter weten dat het stappen heeft genomen om de weerbaarheid tegen social engineering van medewerkers te verbeteren (pdf). Ook zijn er "tal van maatregelen" doorgevoerd om de veiligheid van interne systemen te verbeteren en wordt er met opsporingsdiensten samengewerkt in het onderzoek naar de aanval. Specifieke details over de genomen maatregelen worden echter niet gegeven.

Reacties (10)
24-07-2020, 10:30 door Anoniem
Vergelijk het met 1000 domain admins. Ik zal het eens voorstellen binnen ons bedrijf. Wel redundant uitgevoerd, dat dan weer wel.
24-07-2020, 11:05 door buttonius
Met 1000 medewerkers die zulke ingrijpende wijzigingen kunnen aanbrengen is er altijd een zwakke plek. Dit was een kwestie van tijd.

Google verplicht al jaren 2FA voor al haar personeel. Misschien ook iets voor Twitter medewerkers?
24-07-2020, 11:40 door Anoniem
Door Anoniem: Vergelijk het met 1000 domain admins. Ik zal het eens voorstellen binnen ons bedrijf. Wel redundant uitgevoerd, dat dan weer wel.
Als jouw bedrijf 300 miljoen medewerkers had dan werkten er misschien ook wel 1000 mensen bij de IT helpdesk?
Dat is 1 admin per 300000 gebruikers, zitten jullie daar boven of onder?
Denk je dat het veel zou uitmaken als die 1000 mensen hun verzoeken allemaal naar 3-10 admins moesten doorsturen
die die stapel dan zouden moeten verwerken?
24-07-2020, 11:50 door Anoniem
Door Anoniem: Vergelijk het met 1000 domain admins. Ik zal het eens voorstellen binnen ons bedrijf. Wel redundant uitgevoerd, dat dan weer wel.

Wat een domme analogie.

Vergelijkheid het met 1000 helpdeskers voor een userbase van honderden miljoenen gebruikers.

Of worden bij jullie de password reset gevalletjes allemaal door domain admins gedaan ?
24-07-2020, 11:59 door Anoniem
Door buttonius: Met 1000 medewerkers die zulke ingrijpende wijzigingen kunnen aanbrengen is er altijd een zwakke plek. Dit was een kwestie van tijd.

Google verplicht al jaren 2FA voor al haar personeel. Misschien ook iets voor Twitter medewerkers?

Als ze dat niet hebben is het zeker een goed idee. Maar social engineering blijft lastig. En omkoping ook.

Bij CEO fraude wordt de boekhouding verleid (om gebruik van alle 2-en-meer factoren) geld over te boeken.

Het is niet onvoorstelbaar dat bij twitter-admin-fraude de engineer verleidt wordt tot een onhandige actie (met Jack Dorsey, ik sta op de golfbaan maar je moet NU een password reset doen). En dat braaf met z'n 2 factoren doet.
24-07-2020, 12:31 door Anoniem
Door Anoniem:
Door Anoniem: Vergelijk het met 1000 domain admins. Ik zal het eens voorstellen binnen ons bedrijf. Wel redundant uitgevoerd, dat dan weer wel.
Als jouw bedrijf 300 miljoen medewerkers had dan werkten er misschien ook wel 1000 mensen bij de IT helpdesk?
Dat is 1 admin per 300000 gebruikers, zitten jullie daar boven of onder?
Denk je dat het veel zou uitmaken als die 1000 mensen hun verzoeken allemaal naar 3-10 admins moesten doorsturen
die die stapel dan zouden moeten verwerken?

Heeft Twitter 300 miljoen medewerkers? Nooit geweten dat het zo'n groot bedrijf was ;-)
24-07-2020, 12:49 door Anoniem
Door Anoniem: Vergelijk het met 1000 domain admins. Ik zal het eens voorstellen binnen ons bedrijf. Wel redundant uitgevoerd, dat dan weer wel.

Inderdaad en dan hebben we het voor het gemak maar over serviceaccounts (met wachtwoorden die jarenlang niet gereset zijn. En domain admin accounts waarvan wachtwoorden eveneens jarenlang niet gereset zijn of local admin accounts..idem.

En ingewijden weten direct welk bedrijf ik dan bedoel. Een bedrijf wat al jarenlang de ICT verricht voor derden.

Ze zoeken het maar uit. Ik ben er klaar mee. Wie niet luisteren wil moet maar voelen. Maar schande is het wel. Alle eer naar het management.
24-07-2020, 12:54 door Anoniem
Net als in Moskou waar men nu overal een QR code moet tonen om ergens heen te kunnen gaan. Een code, die aangeeft wat je mag doen, waar en hoe vaak dat mag. Je wordt steeds gezien en ongezien gecontroleerd bij wat je aan het doen bent en waar je heen gaat en je mag slechts dat waar je code je toegang toe geeft.

Goed tegen corona besmettingen en corrupte medewerkers en doorgeschoten burgers. Voor QR code kan je voor dit soort gevallen gelijkaardige time-locked IT-varianten verzinnen. Je moet zorgen dat deze onbetrouwbare medewerkers en/of ondergeschoven criminelen geen kans meer krijgen. Als het op deze manier niet kan. Dan maar op de Hong Kong Mainland manier. Geef ze een veiligheidssleutel, die ze kan beschermen, maar ook kan 'vernaggelen' in geval van overtredingen van de duidelijk gestelde regels.

Het is als met de onzichtbare wachter in de gevagenistoren. De inmates weten niet of ie er is of niet, maar houden er al wel rekening mee. Het werkt en werkt psychologisch altijd.. Als er een gerede kans is dat je gepakt "kan" worden, laten de meesten overtreders het wel uit hun hoofd. Daarom liep de man te bonken op de zak met ratten, die ie op z'n rug had. "Waarom?" doet u dat was de vraag. Antwoord: "Omdat ze dan elkaar bijten en niet mij",

Jodocus Oyevaer
24-07-2020, 13:36 door Anoniem
Corruptie heeft hier baat bij als ze dit mochten weten.

Twitter krijgt een slag om de oren,
er is werk aan de winkel en snel!

Voor mensen die gebruik maken van twitter
denk eens na,wellicht stoppen of een alternatief.

The Matrix
24-07-2020, 16:42 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Vergelijk het met 1000 domain admins. Ik zal het eens voorstellen binnen ons bedrijf. Wel redundant uitgevoerd, dat dan weer wel.
Als jouw bedrijf 300 miljoen medewerkers had dan werkten er misschien ook wel 1000 mensen bij de IT helpdesk?
Dat is 1 admin per 300000 gebruikers, zitten jullie daar boven of onder?
Denk je dat het veel zou uitmaken als die 1000 mensen hun verzoeken allemaal naar 3-10 admins moesten doorsturen
die die stapel dan zouden moeten verwerken?

Heeft Twitter 300 miljoen medewerkers? Nooit geweten dat het zo'n groot bedrijf was ;-)

Twitter heeft meer dan 300 miljoen gebruikers, Met wachtwoorden en 2FA mogelijkheid.
Dat is net zo als wanneer je admin bent bij een bedrijf met 300 miljoen medewerkers waarvan je dit soort dingen moet
beheren. Als je 30 medewerkers hebt dan denk je dat dit simpel is, als je 300 medewerkers hebt wordt het iets lastiger
maar is het met wat procedures nog wel te regelen, maar bij 300 miljoen wordt het toch wel een ander geval.

Je kunt dan denken "ik heb een eerste lijn waar de mensen aan de telefoon zitten die de geldigheid van de aanvraag
beoordelen en die zetten die dan door naar een 2e lijn waar de mensen het echt uitvoeren" maar die 2e lijn krijgt
dan aanvragen binnen waarvan ze maar moeten aannemen dat ze OK zijn en dan zal er niet veel meer te checken
zijn, hooguit nog "aantallen". Dus dan kan zo'n 1e lijn medewerker, ook als die zelf niets kan aanpassen, evengoed
nog wel een collectie instellingen doorzetten om uitgevoerd te worden. Pas als dat er veel meer zijn dan gebruikelijk
gaat dat wellicht een 2e lijn medewerker een keer opvallen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.