Twitter: хакеры взломали аккаунты Маска, Гейтса и других благодаря доступу к внутренним инструментам сотрудников Статьи редакции
Сейчас компания выясняет, помогал ли хакерам её сотрудник.
Twitter опубликовала предварительную информацию о взломе верифицированных аккаунтов, который произошёл 15 июля 2020 года.
В компании убеждены, что взломщики использовали методы социальной инженерии, атаковав некоторых сотрудников Twitter с доступом к внутренним системам и инструментам.
Эти инструменты они использовали, чтобы получить контроль над аккаунтами популярных пользователей и публиковать твиты от их имени. Компания проверяет, как ещё взломщики могли навредить и какой информацией они завладели.
Twitter удалила все твиты, размещённые мошенниками от имени Илона Маска, Билла Гейтса, Джеффа Безоса и других известных людей. В ходе расследования компания также уменьшила число доступных функций у скомпрометированных аккаунтов, чтобы убедиться в безопасности их использования.
Соцсеть также ограничила доступ к своим внутренним инструментам и пообещала дать больше подробностей, когда закончит расследование.
Один из сотрудников Twitter мог сотрудничать с хакерами, пишет Motherboard со ссылкой на источники и скриншоты внутреннего инструмента соцсети. В компании изданию сообщили, что сейчас выясняют, кто взломал учётные записи: сотрудник или хакеры, с его помощью.
15 июля 2020 года неизвестные получили доступ к большой группе верифицированных аккаунтов в Twitter и от имени известных пользователей опубликовали сообщения о раздаче биткоинов. Их обещали тем, кто пришлёт криптовалюту на указанные в твитах кошельки.
На один анонимный биткоин-кошелёк было перечислено свыше $120 тысяч, и больше половины денег уже переведены на другие счета, пишет Bloomberg.
Комментарий недоступен
А как это по-вашему это работает? Сидит дракон, который охраняет сокровищницу с твитами и разрешает сотрудникам вынести немного, если они пароль назовут?
У кого-то всегда есть доступ.
Комментарий недоступен
У кого то в любом случае будет возможность сделать вставку в бд
Комментарий недоступен
Это ваше предположение или где-то писали детали взлома?
Комментарий недоступен
Вся информация структурированно хранится в базе данных (к примеру, в виде таблиц). Поверх базы данных пишутся различные админки и прочие интерфейсы (в том числе и для пользователей).
Пускай есть две таблицы: пользователей и твитов. Чтобы сделать пост от имени кого-то, нужно найти в таблице пользователей искомый id и вставить в таблицу твитов текст с найденным id. В интерфейсе пользователя отобразится новое сообщение.
Пароль нужен для того, чтобы система узнала от чьего имени заносить твиты в базу.
Иначе только в банковских системах, где персональные данные и транзакции должны храниться в разных контурах и всячески анонимизироваться (но даже так они умудряются все проебать).
Комментарий недоступен
Ну, god mode так god mode.
Ну одно дело, когда это очень узкая группа лиц. Скажем, не один дракон, а пять. А другое дело, когда весь IT отдел может получить такие данные.
Я встаю на компьютер жопорукой секретарши Людочки, к которой как к себе домой ходит администратор Евгений, чтобы переустановить ей косынку. Евгений логинится у нее на компе, поэтому я могу забрать его токен и с этим токеном пойти на контроллер домена,на котором хранятся токены уже всех пользователей. Отыскав токен администратора бд, я иду на сервер и делаю нужную вставку. Как-то так)
Проблема в том, что этого кого-то можно развести при помощи социальной инженерии.
У кого есть такого рода доступ, обычно на социальную инженерию не ведутся. Как оказалось, ведутся, но это как минимум странно.
Сейчас развод уже далеко не ограничивается "мама, вышли денег на телефон". Слышали историю, как злоумышленники позвонили в какую-то немецкую компанию и голосом деректора, синтезированного нейронной сетью, затребовали перевод денег?))
Слышал. Но мне казалось, что сотрудники с подобными уровнями доступа должны быть выдрочены на тему ИБ вдоль и поперек.
Если зайти издалека, то способность анализировать противоречит человеческой эволюции. Выживала та особь, которая слышала шорох в кустах и съебывала, а не пыталась домыслить лев там засел или куропатка.
Можно изучить определенные шаблоны и запрограммировать человека на их распознавание, но с противоположной стороны сидят очень творческие люди и в некотором смысле психологи.
А если вернуться к твитеру, то не стоит вообще всерьез воспринимать их пресс-релиз. Это наиболее приемлемое для них объяснение проблемы. Система безопасности ни при чем, есть виновный, который найден, а инцидент - всего лишь случайность.