圖：Twitter 創始人兼首席執行官杰克·多西

　　騰訊科技訊，7 月 24 日，據外媒報道，兩名前員工透露，截至今年早些時候，超過 1000 名 Twitter 員工和承包商擁有訪問內部工具的權限，這些工具可能會用于更改用戶賬戶設置，并將控制權交給其他人，這使得防御上周發生的黑客攻擊變得更加困難。

　　Twitter 和美國聯邦調查局正在調查黑客通過民主黨總統候選人喬·拜登（Joe Biden）、億萬富翁慈善家比爾·蓋茨（Bill Gates）、特斯拉首席執行官埃隆·馬斯克（Elon Musk）和前紐約市長邁克·布隆伯格（Mike Bloomberg）等人的驗證賬戶，反復發布欺詐行推文的事件。

　　Twitter 上周六表示，黑客“操縱了少數員工，并利用他們的憑證”登錄內部工具，獲得了 45 個賬戶的訪問權限。美國當地時間周三，Twitter 聲稱，黑客可能讀取了 36 個賬戶的用戶私信，但沒有確認受影響的用戶身份。熟悉 Twitter 安全做法的前員工表示，太多人可能擁有內部權限。截至 2020 年早些時候，已經有 1000 多人有這樣的權限，其中包括像 Cognizant 這樣的承包商。

　　Twitter 拒絕對這個數字發表評論，也不愿透露這個數字在黑客入侵之前或之后是否已經下降。Twitter 表示，該公司正在尋找一名新的安全主管，致力于更好地保護其系統，并培訓員工抵御外界的侵襲。Cogizant 沒有回復記者的置評請求。

　　美國運營商 AT&T前首席安全官愛德華·阿莫羅索(Edward Amoroso)說：“聽起來，擁有內部訪問權限的人太多了。”員工之間本應各盡其責，而內部訪問權限也應僅限于少數人，而且需要不止一個人同意進行最敏感的賬戶更改。阿莫羅索稱：“要確保網絡安全，不能忘了枯燥乏味的事情。”

　　網絡安全專家表示，來自內部人員的威脅，特別是薪酬較低的外部支持人員，是服務于大量用戶的公司的持續擔憂。他們說，可以改變關鍵設置的人越多，監管就必須越強。

　　這些前員工表示，在經歷了之前的失誤之后，Twitter 在記錄員工活動方面已經變得更好了，其中包括去年 11 月被控為沙特政府從事間諜活動的一名員工對相關記錄的搜索。但是，雖然日志記錄有助于調查，但只有警報或持續的審查才能將日志轉變為可以防止入侵的東西。

　　前思科系統公司(Cisco Systems)首席安全官約翰·斯圖爾特(John Stewart)表示，擁有廣泛訪問權限的公司需要采取一系列預防和保障措施，并“最終確保最有權勢的授權人員只做他們應該做的事情”。

　　目前還不清楚到底是誰實施了這場黑客襲擊，但 Unit 221B 的艾莉森·尼克松(Allison Nixon)等外部研究人員表示，這起事件似乎與一群網絡罪犯有關，他們經常交易新奇的用戶名，特別是罕見的、擁有一兩個字符的賬戶名稱，這些用戶名被視為網絡界的最高榮譽。

　　盡管將黑客攻擊與這些事件聯系在一起的公開證據是間接的，但超短的 Twitter 賬戶是首批被劫持的賬戶之一。

　　此外，尼克松和 StopSIMCritical 分析師尼克·巴克斯(Nick Bax)表示，這些黑客活躍的論壇長期以來一直充斥著關于可以接觸 Twitter 內部人士的信息。StopSIMCritical 是個游說組織，旨在游說加強對“SIM 交換”的保護。“SIM 交換”是這類黑客經常使用的一種電話號碼劫持技術。

　　巴克斯說，早在 2017 年，他就在論壇上看到有人提到“Twitter 插件”或“Twitter 代表”，這是用來描述與外部合作的 Twitter 內部員工的術語。

　　低級別網絡罪犯的潛在參與尤其讓專業人士感到震驚，因為這意味著敵對政府可能會造成更大的破壞。兩年前，一名流氓雇員短暫刪除了唐納德·特朗普(Donald Trump)總統的賬戶，之后國家領導人的賬戶訪問權限被限制在數量更少的人手中。這可以解釋為什么拜登的賬戶被劫持，而特朗普的賬戶卻安然無恙的原因。

　　前 Twitter 安全工程師約翰·亞當斯(John Adams)表示，Twitter 應該擴大受保護賬戶的數量。其中，粉絲超過 1 萬人的賬戶至少需要兩個人才能更改密鑰設置。

　　安全專家表示，他們擔心 Twitter 在 11 月 3 日美國大選的競選活動加劇之前有太多的工作要做，而時間又太少，這可能會在國內和其他國家產生影響。

　　網絡安全投資人羅恩·古拉(Ron Gula)是網絡安全公司 Tenable 的聯合創始人，他說：“真正的問題是：當我們的總統候選人和新聞媒體面臨復雜的威脅時，Twitter 是否采取了足夠的措施來防止我們的總統候選人和新聞機構的賬戶被劫持？”

　　在周四討論公司業績的電話會議上，Twitter 首席執行官杰克·多西(Jack Dorsey)承認了過去的失誤。他告訴投資者：“上周對我們推特所有人來說真的是艱難的一周，我們對發生安全事件感到非常難過，這起事件對我們服務的人和他們對我們的信任產生了負面影響。安全沒有終點，這是個持續不斷的迭代的過程，以保持領先于對手的步伐。然而我們現在落后了，無論是在我們對員工進行社會工程的保護方面，還是在對我們內部工具的限制方面。”

　　多西說，Twitter 正在尋找其他賺錢的方式，包括可能的訂閱模式。他幾乎沒有提供消費者可能會為什么買單的細節，只是說公司還處于“非常、非常早期的探索階段”。對于何時要求消費者為 Twitter 的某些方面付費，Twitter 有很高的門檻兒。本月早些時候，在 Twitter 的一篇招聘帖子提到一款訂閱產品后，有關可能的訂閱業務的猜測逐漸浮出水面。（騰訊科技審校/金鹿）

總結

以上是生活随笔為你收集整理的Twitter被曝逾千名员工拥有内部权限 可协助黑客入侵帐号的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。