Nieuws

Twitter: inloggegevens medewerkers via phishingaanval gestolen

vrijdag 31 juli 2020, 08:14 door Redactie, 9 reacties

De aanvallers die onlangs toegang tot de systemen van Twitter kregen wisten de benodigde inloggegevens via een telefonische phishingaanval te stelen, zo heeft de microbloggingdienst vanochtend bekendgemaakt. Bij de aanval kregen de aanvallers toegang tot de interne beheertools waarmee het mogelijk was om het e-mailadres van accounteigenaren te veranderen en tweefactorauthenticatie uit te schakelen. Op deze manier konden de aanvallers van tientallen geverifieerde accounts het wachtwoord resetten en zo de accounts overnemen.

In een update over het incident laat Twitter weten dat de aanvallers de benodigde inloggegevens via een telefonische phishingaanval hebben verkregen. Een klein aantal medewerkers was het doelwit van de aanval, waarbij ze hun inloggegevens aan de aanvallers verstrekten. Die kregen zo toegang tot de interne systemen van Twitter. Deze medewerkers hadden echter geen toegang tot de interne tools voor het beheren van accounts.

De informatie die de aanvallers op de interne Twitter-systemen aantroffen gebruikten ze vervolgens voor een telefonische phishingaanval op medewerkers die wel toegang tot de beheertools hadden. Ook deze medewerkers verstrekten hun inloggegevens, waardoor de aanvallers uiteindelijk toegang kregen. Zo konden de aanvallers via 45 overgenomen Twitteraccounts tweets versturen, werden van 36 accounts de privéberichten bekeken en van 7 accounts alle accountdata gedownload. Eerder liet Twitter nog weten dat van 8 accounts de accountdata was gedownload.

Verder stelt Twitter dat de aanvallers misbruik van "menselijke kwetsbaarheden" maakten om de medewerkers te misleiden. "Dit is een goede herinnering van hoe belangrijk elke medewerker is in het beschermen van onze dienst", merkt de microbloggingdienst op. Twitter heeft naar eigen zeggen de toegang tot de interne tools en systemen sinds het incident aanzienlijk beperkt en zal periodieke phishingtests onder het personeel blijven uitvoeren.

Chrome komt met automatisch aanvullen van creditcarddata via vingerafdruk

Hoogleraar: beperk macht techbedrijven met persoonlijke datakluis

Reacties (9)

31-07-2020, 08:43 door spatieman

right..
en iemand gaat zijn "verhoogde rechten" vrijwillig afstaan....
dan moet je al verdomd goed van vertrouwen zijn, of werden ze omgekocht met een reep chocolade hehe.

31-07-2020, 09:07 door Anoniem

Door spatieman: right..
en iemand gaat zijn "verhoogde rechten" vrijwillig afstaan....
dan moet je al verdomd goed van vertrouwen zijn, of werden ze omgekocht met een reep chocolade hehe.

Verplicht leesvoer: https://www.mitnicksecurity.com/the-art-of-deception Is zeker al 20 jaar oud. Dit gaat alleen maar over social enginering. En dat gaat heel makkelijk. En nee, dit is niet onder dwang of druk. Dit is inspelen op de menselijke factor om iemand te willen helpen.

"Hallo met collega Jantje van afdeling X in plaats Z. Kun jij mij ff helpen met een login die het bij niet doet?" Als je zo begint, en een goede babbel hebt, dan denkt de andere kant snel dat je een collega bent, en dan deel je in eens veel makkelijker wachtwoorden. Doordat je dus info hebt van hun intranet, weet je hoe een organisatie in elkaar zit, wat de terminologie is

Dus, hier blijkt maar weer, je kunt nog zoveel wachtwoorden en veiligheid systemen inbouwen, de mens is en blijft de zwakste schakel.

TheYOSH

31-07-2020, 09:37 door Anoniem

Geen enkele verwijzing naar 2-factor authenticatie. Ook met 2FA ben je nog niet 100% veilig tegen phishing, maar het maakt het wel heel veel moeilijker. Als je geen 2FA hebt ingeregeld, zeker voor een bedrijf als Twitter, dan snap je security niet.

31-07-2020, 09:56 door Anoniem

right.. en iemand gaat zijn "verhoogde rechten" vrijwillig afstaan.... dan moet je al verdomd goed van vertrouwen zijn, of werden ze omgekocht met een reep chocolade hehe.

Jij zal natuurlijk onkwetsbaar zijn tegen dit soort aanvallen.....

31-07-2020, 09:58 door Anoniem

Dus, hier blijkt maar weer, je kunt nog zoveel wachtwoorden en veiligheid systemen inbouwen, de mens is en blijft de zwakste schakel.

Er blijkt vooral hier dat men 2-factor authenticatie had moeten gebruiken voor accounts van werknemers. Waardoor een gestolen (/weggegeven) password nutteloos wordt.

31-07-2020, 10:00 door Anoniem

Tijd voor MFA zonder SMS, zonder App met Codes maar met fysieke devices: Smartcard, FIDO2, YubiKey etc ?

31-07-2020, 10:21 door souplost

Ook deze medewerkers verstrekten hun inloggegevens, waardoor de aanvallers uiteindelijk toegang kregen

Ok ze geven de medewerkers de schuld (wel opvallend veel ). Waarschijnlijk weer de leverancier van de desktop. Die geven ook altijd gebruikers en/of beheerders de schuld. Ik geloof helemaal niets van zoveel onbenul bij meedere personen tegelijk en geloof eerder dat er 1 op een verkeerd linkje heeft geklickt.

31-07-2020, 11:39 door Anoniem

Door Anoniem: Tijd voor MFA zonder SMS, zonder App met Codes maar met fysieke devices: Smartcard, FIDO2, YubiKey etc ?

Yup. Niet alle fysieke devices beschermen overigens tegen phishing. RSA tokens en varianten zoals in gebruik bij banken niet bijvoorbeeld. Pas als je ergens public-key crypto hoort (i.p.v. OTP) mag je er voorzichtig vanuit gaan dat er pas beveiliging is tegen phishing.

01-08-2020, 11:16 door Anoniem

Door souplost:

Ook deze medewerkers verstrekten hun inloggegevens, waardoor de aanvallers uiteindelijk toegang kregen

Ok ze geven de medewerkers de schuld (wel opvallend veel ).

Ze geven de medewerkers helemaal niet de schuld, aangeven dat iets gebeurd is is iets anders dan er meteen schuld aan koppelen.

Waarschijnlijk weer de leverancier van de desktop. Die geven ook altijd gebruikers en/of beheerders de schuld.

Dat is domweg niet wat er staat. Je slaat aan het fantaseren.

Ik geloof helemaal niets van zoveel onbenul bij meedere personen tegelijk en geloof eerder dat er 1 op een verkeerd linkje heeft geklickt.

Je gelooft iets niet dus ga je maar in een fantasie die je beter bevalt geloven. Maar phishing, spear phishing en oplichters die zeer bedreven zijn in het overtuigen van hun slachtoffers bestaan werkelijk. Het is niet voor niets dat je er zoveel nieuws over leest.

Misschien moet je wat je gelooft eens aanpassen aan de informatie die je krijgt in plaats van de informatie aan te passen aan wat je gelooft.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer