Беспрецедентный взлом аккаунтов знаменитостей в Twitter в этом месяце был вызван человеческой ошибкой и атакой копья-фишинга на сотрудников Twitter, подтвердила компания.
Копье-Фишинг-это целенаправленная атака, предназначенная для того, чтобы обманом заставить людей раздавать информацию, такую как пароли.
Twitter сказал, что его сотрудники были нацелены через свои телефоны.
Успешная попытка позволила злоумышленникам чирикать из аккаунтов знаменитостей и получать доступ к их личным прямым сообщениям.
Счета основателя Microsoft Билла Гейтса, кандидата в президенты от Демократической партии Джо Байдена и звезды реалити-шоу Ким Кардашьян Уэст были скомпрометированы и поделились биткойн-аферой.
Сообщается, что он принес мошенникам более 100 000 долларов (80 000 фунтов стерлингов).
Атака вызвала опасения по поводу уровня доступа сотрудников Twitter, а впоследствии и хакеров, к учетным записям пользователей.Отчет
Twitter признал эту озабоченность в своем заявлении, заявив, что он "внимательно смотрит" на то, как он может улучшить свои разрешения и процессы.
"Доступ к этим инструментам строго ограничен и предоставляется только по уважительным деловым причинам", - говорится в сообщении компании.
Не все сотрудники, подвергшиеся атаке копья-фишинга, имели доступ к внутренним инструментам, сказал Twitter, но у них был доступ к внутренней сети и другим системам.
После того, как злоумышленники получили учетные данные пользователей, чтобы позволить им войти в сеть Twitter, следующий этап их атаки был намного проще.
Они были нацелены на других сотрудников, которые имели доступ к контролю учетных записей.
Twitter не уточняет, были ли их сотрудники обмануты электронной почтой или телефонным звонком. Консенсус в сообществе информационной безопасности состоит в том, что это было последнее.
Фишинг телефонных звонков, широко известный как вишинг, - это хлеб с маслом для тех хакеров, которые подозреваются в этой атаке.
Преступники получили телефонные номера нескольких сотрудников Twitter и, используя дружеское убеждение и обман, заставили их передать имена пользователей и пароли, которые дали им первоначальную точку опоры во внутренней системе.
Twitter hack: что пошло не так и почему это имеет значение
ФБР расследует крупный взлом Twitter
Как пишет Twitter, мошенники "использовали человеческие уязвимости". Вы можете себе представить, как это могло произойти:
Хакер сотруднику Twitter: "Привет, я новичок в отделе, и я заблокировал себя от внутреннего портала Twitter, не могли бы вы сделать мне огромное одолжение и дать мне логин снова?"
Тот факт, что сотрудники Twitter были восприимчивы к этим основным атакам, смущает компанию, построенную на том, чтобы быть на переднем крае цифровых технологий и интернет-культуры.
Twitter сообщил, что первоначальная попытка фишинга копья произошла 15 июля - в тот же день, когда учетные записи были скомпрометированы, предполагая, что доступ к ним был получен в течение нескольких часов.
"Эта атака основывалась на значительной и согласованной попытке ввести в заблуждение некоторых сотрудников и использовать человеческие уязвимости для получения доступа к нашим внутренним системам", - говорится в сообщении компании.
"Это было ярким напоминанием о том, насколько важен каждый человек в нашей команде для защиты нашей службы."
СМИ captionTechnology объяснил: что такое фишинг?
Twitter не сообщил, была ли атака связана с голосовыми вызовами, несмотря на предыдущий отчет Bloomberg, в котором говорилось, что по крайней мере с одним сотрудником Twitter злоумышленники связались по телефону.
Фишинг чаще всего осуществляется с помощью электронной почты и текстовых сообщений, поощряя получателей нажимать на ссылки, которые ведут их на веб-сайты с поддельными экранами входа в систему.
Копье-Фишинг-это версия мошенничества, нацеленная на одного человека или конкретную компанию, и обычно сильно настроена, чтобы сделать ее более правдоподобной.
Одна жертва, чей аккаунт был скомпрометирован, сказала Би-би-си, что Твиттер мог бы сделать несколько вещей по-другому.
"Они не должны давать возможность одному сотруднику удалять как адрес электронной почты в файле, так и двухфакторную аутентификацию",-сказали они.
"Я понимаю, почему это необходимо - например, если у спящего аккаунта есть очень старая электронная почта, которая недоступна, и вы потеряли свой телефон или что - то в этом роде, - но для этого потребуется два сотрудника, чтобы подписать контракт."
Они также сказали, что связь из Твиттера была плохой.
"Потребовалось 10 дней, чтобы сбросить этот аккаунт без реального личного ответа от Twitter. Я буквально получил автоматическое электронное письмо "нажмите здесь, чтобы продолжить" от их системы, когда они добавили мою электронную почту обратно в учетную запись, чтобы позволить мне сбросить ее - и это выглядело как фишинговое письмо."