逾千名Twitter員工擁有內(nèi)部權(quán)限:可協(xié)助黑客入侵帳號(hào)

（原標(biāo)題：Exclusive: More than 1,000 people at Twitter had ability to aid hack of accounts）

網(wǎng)易科技訊 7月24日消息，據(jù)國(guó)外媒體報(bào)道，兩名Twitter前員工透露，直到今年早些時(shí)候，有1000多名Twitter員工和承包商使用過(guò)有權(quán)限改變用戶賬戶設(shè)置、并將控制權(quán)交給其他人的內(nèi)部工具。這使得防范上周發(fā)生的黑客攻擊事件變得更加困難。

Twitter上周六表示，作案者“操縱了一小部分員工，使用他們的憑證”登錄后臺(tái)，拿到了45個(gè)賬戶的使用權(quán)限。本周三該公司表示，黑客可能讀取了36個(gè)賬戶的直接信息，但沒(méi)有指明受影響的用戶。

熟悉Twitter安全措施的前員工表示，可能有太多的人做過(guò)同樣的事情。截至2020年初，已經(jīng)有包括Cognizant等承包商在內(nèi)的1000多人做過(guò)類似的事情。

Twitter拒絕對(duì)這個(gè)數(shù)字發(fā)表評(píng)論。Twitter表示，該公司正在物色一位新的安全主管，以更好地保護(hù)其系統(tǒng)，并培訓(xùn)員工如何抵御外部人員的詭計(jì)。Cognizant沒(méi)有回應(yīng)置評(píng)請(qǐng)求。

AT&T前首席安全官愛(ài)德華·阿莫羅索(Edward Amoroso)說(shuō):“聽(tīng)起來(lái)有訪問(wèn)權(quán)限的人太多了?！本W(wǎng)絡(luò)安全專家表示，來(lái)自內(nèi)部員工的威脅，特別是來(lái)自薪酬較低的外包人員威脅，一直是服務(wù)于大量用戶的公司所擔(dān)心的問(wèn)題。他們說(shuō)，可以更改關(guān)鍵設(shè)置的人越多，監(jiān)管就必須越嚴(yán)格。

這些前員工表示，Twitter在不斷改進(jìn)記錄員工活動(dòng)日志等措施。雖然日志有助于調(diào)查，但只有警報(bào)或持續(xù)審查才能把日志變成可以防止破壞的東西。

前思科首席安全官約翰·斯圖爾特(John Stewart)表示，擁有廣泛訪問(wèn)權(quán)限的公司需要采取一系列措施，“最終確保授權(quán)人員只做他們應(yīng)該做的事情?！?/p>

有網(wǎng)站分析師表示，早在2017年，他就在論壇上看到了“Twitter插入”或“Twitter代表”等用來(lái)描述可合作Twitter員工的術(shù)語(yǔ)。

在周四的財(cái)報(bào)電話會(huì)議上，Twitter首席執(zhí)行官杰克·多西（Jack Dorsey）承認(rèn)了過(guò)去的失誤。他告訴投資者：“無(wú)論是保護(hù)員工免受社會(huì)工程學(xué)攻擊方面，還是在對(duì)內(nèi)部工具的限制方面，我們都落后了?！保ǔ匠剑?/p>

生成海報(bào)