逾千名Twitter員工擁有內(nèi)部權(quán)限：可協(xié)助黑客入侵帳號

據(jù)國外媒體報道，兩名Twitter前員工透露，直到今年早些時候，有1000多名Twitter員工和承包商使用過有權(quán)限改變用戶賬戶設置、并將控制權(quán)交給其他人的內(nèi)部工具。這使得防范上周發(fā)生的黑客攻擊事件變得更加困難。

Twitter上周六表示，作案者“操縱了一小部分員工，使用他們的憑證”登錄后臺，拿到了45個賬戶的使用權(quán)限。本周三該公司表示，黑客可能讀取了36個賬戶的直接信息，但沒有指明受影響的用戶。

熟悉Twitter安全措施的前員工表示，可能有太多的人做過同樣的事情。截至2020年初，已經(jīng)有包括Cognizant等承包商在內(nèi)的1000多人做過類似的事情。

Twitter拒絕對這個數(shù)字發(fā)表評論。Twitter表示，該公司正在物色一位新的安全主管，以更好地保護其系統(tǒng)，并培訓員工如何抵御外部人員的詭計。Cognizant沒有回應置評請求。

AT&T前首席安全官愛德華·阿莫羅索(Edward Amoroso)說:“聽起來有訪問權(quán)限的人太多了。”網(wǎng)絡安全專家表示，來自內(nèi)部員工的威脅，特別是來自薪酬較低的外包人員威脅，一直是服務于大量用戶的公司所擔心的問題。他們說，可以更改關(guān)鍵設置的人越多，監(jiān)管就必須越嚴格。

這些前員工表示，Twitter在不斷改進記錄員工活動日志等措施。雖然日志有助于調(diào)查，但只有警報或持續(xù)審查才能把日志變成可以防止破壞的東西。

前思科首席安全官約翰·斯圖爾特(John Stewart)表示，擁有廣泛訪問權(quán)限的公司需要采取一系列措施，“最終確保授權(quán)人員只做他們應該做的事情?！?/span>

有網(wǎng)站分析師表示，早在2017年，他就在論壇上看到了“Twitter插入”或“Twitter代表”等用來描述可合作Twitter員工的術(shù)語。

在周四的財報電話會議上，Twitter首席執(zhí)行官杰克·多西（Jack Dorsey）承認了過去的失誤。他告訴投資者：“無論是保護員工免受社會工程學攻擊方面，還是在對內(nèi)部工具的限制方面，我們都落后了?！?/span>