AV-Test heeft gekaapt Twitter-account na ruim een week nog altijd niet terug
Het Duitse testlab en securitybedrijf AV-TEST Institute heeft het Twitter-account dat ruim een week geleden werd gekaapt nog altijd niet terug, ook al heeft het Twitter via verschillende kanalen om hulp gevraagd. AV-Test voert periodiek tests uit van antivirussoftware en andere beveiligingspakketten voor verschillende platformen, zoals Android, macOS en Windows.
Sinds 2010 heeft AV-Test het Twitteraccount AVTestOrg met bijna veertienduizend volgers. Op 25 juli werd het account door een aanvaller overgenomen. Andreas Marx van AV-Test liet eerder aan Security.NL weten dat voor het account een veilig wachtwoord en 2FA via Google Authenticator werden gebruikt. Inmiddels is het 4 augustus en heeft AV-Test het account nog altijd niet terug.
Ondanks meerdere pogingen om het account weer in handen te krijgen heeft AV-Test geen reactie van Twitter ontvangen. Hoe het account kon worden gekaapt is nog altijd onbekend, mogelijk wist de aanvaller een actieve sessie over te nemen en kon vervolgens het e-mailadres van het account wijzigen. "Ik begrijp nog steeds niet waarom het wijzigen van het e-mailadres geen 2FA-request veroorzaakt. Dat is een zwakte van Twitter; andere sociale netwerken doen dit veel beter", aldus Marx tegenover PCMagazine. Daarnaast vindt Marx dat Twitter voordat een e-mailadres kan worden gewijzigd er eerst een bevestiging moet worden verstuurd naar het initieel ingestelde adres.
Het is nog handiger als je als slachtoffer portreteert en vervolgens schuld legt bij de dataverwerker en het ook nog eens in de media werpt. Dat zou mij als wederpartij iedergeval niet bewegen om sneller te gaan lopen. Nog slimmer is om een tweede case te openen wat elk beetje goed ingericht ticket systeem ziet als opvolging waardoor deze weer onderop de stapel komt zolang er geen assignee aan vast zit.
Wat hadden ze kunnen doen?
Ze hadden ook een reeks telefoons op kantoor kunnen laten rinkelen naar Twitter support tot ze door de wachtrij heen kwamen dat doen wij als we Microsoft moeten bellen voor ondersteuning kost je paar uur en telkosten maar werkt altijd.
Of nog sneller en slimmer ze hadden hun partners waar ze testen voor doen kunnen inlichten en vragen voor ondersteuning. Want raad is eens wie is een van hun afnemers van diensten? Microsoft. En wie de eigenaar van Twitter? Microsoft
Wat heb je als je een zakelijke overeenkomst maakt met een enterprise? Account managers en directe lijnen naar atleast een contact binnen lager management als niet midden management is.
En sinds de diensten die Microsoft afneemt bij AV-Test nota bene gaat over cybersecurity kun je ook wel raden welk type afdeling responsbiles gekoppeld zitten binnen Microsoft aan hun company profile. Security specialists.
En dit is waarom je van te voren nadenkt over wat te doen bij alle mogelijke calamiteiten en leg je het vast in een draaiboek.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
