逾千名Twitter員工擁有內(nèi)部權(quán)限:可協(xié)助黑客入侵帳號

（原標(biāo)題：Exclusive: More than 1,000 people at Twitter had ability to aid hack of accounts）

網(wǎng)易科技訊 7月24日消息，據(jù)國外媒體報(bào)道，兩名Twitter前員工透露，直到今年早些時(shí)候，有1000多名Twitter員工和承包商使用過有權(quán)限改變用戶賬戶設(shè)置、并將控制權(quán)交給其他人的內(nèi)部工具。這使得防范上周發(fā)生的黑客攻擊事件變得更加困難。

Twitter上周六表示，作案者“操縱了一小部分員工，使用他們的憑證”登錄后臺，拿到了45個(gè)賬戶的使用權(quán)限。本周三該公司表示，黑客可能讀取了36個(gè)賬戶的直接信息，但沒有指明受影響的用戶。

熟悉Twitter安全措施的前員工表示，可能有太多的人做過同樣的事情。截至2020年初，已經(jīng)有包括Cognizant等承包商在內(nèi)的1000多人做過類似的事情。

Twitter拒絕對這個(gè)數(shù)字發(fā)表評論。Twitter表示，該公司正在物色一位新的安全主管，以更好地保護(hù)其系統(tǒng)，并培訓(xùn)員工如何抵御外部人員的詭計(jì)。Cognizant沒有回應(yīng)置評請求。

AT&T前首席安全官愛德華·阿莫羅索(Edward Amoroso)說:“聽起來有訪問權(quán)限的人太多了?！本W(wǎng)絡(luò)安全專家表示，來自內(nèi)部員工的威脅，特別是來自薪酬較低的外包人員威脅，一直是服務(wù)于大量用戶的公司所擔(dān)心的問題。他們說，可以更改關(guān)鍵設(shè)置的人越多，監(jiān)管就必須越嚴(yán)格。

這些前員工表示，Twitter在不斷改進(jìn)記錄員工活動日志等措施。雖然日志有助于調(diào)查，但只有警報(bào)或持續(xù)審查才能把日志變成可以防止破壞的東西。

前思科首席安全官約翰·斯圖爾特(John Stewart)表示，擁有廣泛訪問權(quán)限的公司需要采取一系列措施，“最終確保授權(quán)人員只做他們應(yīng)該做的事情?！?/p>

有網(wǎng)站分析師表示，早在2017年，他就在論壇上看到了“Twitter插入”或“Twitter代表”等用來描述可合作Twitter員工的術(shù)語。

在周四的財(cái)報(bào)電話會議上，Twitter首席執(zhí)行官杰克·多西（Jack Dorsey）承認(rèn)了過去的失誤。他告訴投資者：“無論是保護(hù)員工免受社會工程學(xué)攻擊方面，還是在對內(nèi)部工具的限制方面，我們都落后了。”（辰辰）

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。