逾千名Twitter员工拥有内部权限:可协助黑客入侵帐号
据国外媒体报道,两名Twitter前员工透露,直到今年早些时候,有1000多名Twitter员工和承包商使用过有权限改变用户账户设置、并将控制权交给其他人的内部工具。这使得防范上周发生的黑客攻击事件变得更加困难。
According to foreign media reports, two former twitter employees revealed that up to earlier this year, more than 1000 twitter employees and contractors had used internal tools with the authority to change user account settings and give control to others. This makes it more difficult to guard against last week's hacker attacks.
Twitter上周六表示,作案者“操纵了一小部分员工,使用他们的凭证”登录后台,拿到了45个账户的使用权限。本周三该公司表示,黑客可能读取了36个账户的直接信息,但没有指明受影响的用户。
熟悉Twitter安全措施的前员工表示,可能有太多的人做过同样的事情。截至2020年初,已经有包括Cognizant等承包商在内的1000多人做过类似的事情。
Twitter拒绝对这个数字发表评论。Twitter表示,该公司正在物色一位新的安全主管,以更好地保护其系统,并培训员工如何抵御外部人员的诡计。Cognizant没有回应置评请求。
AT&T前首席安全官爱德华·阿莫罗索(EdwardAmoroso)说:听起来有访问权的人太多了。网络安全专家表示,内部员工的威胁,尤其是低薪外包人员的威胁,一直是服务于大量用户的公司的担忧。他们说,能改变关键设置的人越多,监管就越严格。
这些前员工表示,Twitter在不断改进记录员工活动日志等措施。虽然日志有助于调查,但只有警报或持续审查才能把日志变成可以防止破坏的东西。
前思科首席安全官约翰·斯图尔特(John Stewart)表示,拥有广泛访问权限的公司需要采取一系列措施,“最终确保授权人员只做他们应该做的事情。”
有网站分析师表示,早在2017年,他就在论坛上看到了“Twitter插入”或“Twitter代表”等用来描述可合作Twitter员工的术语。
在周四的财报电话会议上,Twitter首席执行官杰克·多西(Jack Dorsey)承认了过去的失误。他告诉投资者:“无论是保护员工免受社会工程学攻击方面,还是在对内部工具的限制方面,我们都落后了。”
On Thursday's earnings call, twitter chief executive Jack Dorsey acknowledged past mistakes. "Whether it's protecting employees from social engineering attacks or restricting internal tools, we're lagging behind," he told investors
