大規模黑客攻擊之前 Twitter員工已在監視名人
7月15日,Twitter遭遇大規模黑客攻擊,平台上一些備受關注的認證賬户被黑客控制發佈詐騙比特幣的推文。但最近,一份報告顯示,在發生那次黑客攻擊的數年前,Twitter合同工顯然已經可以使用該公司的內部工具監視包括碧昂絲在內的一些名人。
據報道,涉及的工具主要允許Twitter員工執行諸如重置賬號或處理違規內容之類的事情,但這些工具很顯然也可以被用來監視或攻擊某個賬户。報道稱:“這些控制有很多漏洞,以至於在2017年和2018年的某些時候,一些合同工甚至用假的技術支持服務查詢,來偷窺名人賬户,其中包括碧昂絲的賬户,他們跟蹤明星的個人數據,比如從他們設備的IP地址查到的大概位置等。”報道還説,在Twitter上,監聽用户賬户的行為尤其猖獗,導致Twitter在美國的全職安全團隊“難以跟蹤攻擊情況”。
其中部分合同工受僱於專業服務供應商Cognizant。Cognizant目前仍與Twitter有合作。一名Twitter發言人表示,超過1500名全職員工和合同工有權限更改用户賬户。他説:“沒有跡象顯示,與我們合作的客户服務和賬户管理合作伙伴參與了”本月發生的攻擊事件。
Twitter已經公開稱,該公司的一些工具在7月15日的黑客攻擊事件中被攻擊利用,還説那是“協調的社會工程攻擊”的一部分,即針對有權訪問內部工具的員工發起的攻擊。黑客至少給一名Twitter員工打電話,試圖“獲取能讓他們訪問Twitter內部用户支持工具的安全信息”。但黑客究竟是如何成功訪問Twitter內部工具的,仍然是一個謎。此前有報道稱,參與攻擊事件的某個人在Twitter的內部Slack頻道瞥見了訪問工具的憑據,因而得以訪問這些工具。另一個説法則是,有人表示他們買通了Twitter的員工。
Twitter稱,濫用Twitter內部工具的懲罰包括終止勞動合同。
另外,報道還指出,從2015年到2019年,幾乎每年,都有人向公司董事會提出有關Twitter賬户的安全問題。但這些問題並非總是被視為對Twitter安全或該公司用户隱私的一個緊急威脅。
來源:新浪科技 作者:勻琳