據(jù)國外媒體報道���,兩名Twitter前員工透露����,直到今年早些時候,有1000多名Twitter員工和承包商使用過有權限改變用戶賬戶設置�����、并將控制權交給其他人的內(nèi)部工具�。這使得防范上周發(fā)生的黑客攻擊事件變得更加困難。
據(jù)國外媒體報道�����,兩名Twitter前員工透露��,直到今年早些時候�����,有1000多名Twitter員工和承包商使用過有權限改變用戶賬戶設置�����、并將控制權交給其他人的內(nèi)部工具�。這使得防范上周發(fā)生的黑客攻擊事件變得更加困難���。
Twitter上周六表示��,作案者“操縱了一小部分員工���,使用他們的憑證”登錄后臺����,拿到了45個賬戶的使用權限����。本周三該公司表示,黑客可能讀取了36個賬戶的直接信息�����,但沒有指明受影響的用戶��。
熟悉Twitter安全措施的前員工表示�����,可能有太多的人做過同樣的事情��。截至2020年初�,已經(jīng)有包括Cognizant等承包商在內(nèi)的1000多人做過類似的事情。
Twitter拒絕對這個數(shù)字發(fā)表評論�����。Twitter表示,該公司正在物色一位新的安全主管����,以更好地保護其系統(tǒng),并培訓員工如何抵御外部人員的詭計�����。Cognizant沒有回應置評請求��。
AT&T前首席安全官愛德華·阿莫羅索(Edward Amoroso)說:“聽起來有訪問權限的人太多了���?����!本W(wǎng)絡安全專家表示,來自內(nèi)部員工的威脅���,特別是來自薪酬較低的外包人員威脅����,一直是服務于大量用戶的公司所擔心的問題。他們說��,可以更改關鍵設置的人越多�����,監(jiān)管就必須越嚴格�����。
這些前員工表示�,Twitter在不斷改進記錄員工活動日志等措施。雖然日志有助于調(diào)查����,但只有警報或持續(xù)審查才能把日志變成可以防止破壞的東西。
前思科首席安全官約翰·斯圖爾特(John Stewart)表示�����,擁有廣泛訪問權限的公司需要采取一系列措施�����,“最終確保授權人員只做他們應該做的事情?��!?/span>
有網(wǎng)站分析師表示�,早在2017年�����,他就在論壇上看到了“Twitter插入”或“Twitter代表”等用來描述可合作Twitter員工的術語����。
在周四的財報電話會議上,Twitter首席執(zhí)行官杰克·多西(Jack Dorsey)承認了過去的失誤��。他告訴投資者:“無論是保護員工免受社會工程學攻擊方面��,還是在對內(nèi)部工具的限制方面�����,我們都落后了���?��!?/span>
閩公網(wǎng)安備 35010202001226號
