sin precedentes en la piratería de la celebridad cuentas de Twitter de este mes fue causado por un error humano y un lanza-ataque de phishing en Twitter a los empleados, la compañía ha confirmado.
Spear-phishing es un ataque dirigido, diseñado para engañar a la gente en la entrega de información como contraseñas.
Twitter dijo que su personal fueron atacados a través de sus teléfonos.
El exitoso intento de dejar a los atacantes tweet a partir de la celebridad de cuentas y acceso a la privacidad de sus mensajes directos.
Las cuentas de fundador de Microsoft, Bill Gates, Democrática presidencial esperanza, Joe Biden, y la realidad de la estrella Kim Kardashian West estaba comprometida, y compartir un Bitcoin estafa.
según Se informa a compensarse con los estafadores más de $100,000 (£80,000).
El ataque ha expresado su preocupación sobre el nivel de acceso que los empleados de Twitter, y posteriormente los hackers, han de cuentas de usuario.
Skip Twitter post por @TwitterSupport
, Mediante la obtención de credenciales de los empleados, que fueron capaces de atacar específicas de los empleados que tenían acceso a nuestra cuenta de herramientas de soporte. Entonces colocaron 130 cuentas de Twitter – Twitter de 45, el acceso a la DM de la bandeja de entrada de 36, y la descarga de los Datos de Twitter de 7.
— Twitter de Apoyo (@TwitterSupport) el 31 de julio de 2020
Informe
Final del post de Twitter por @TwitterSupport
Twitter reconoció que la preocupación en su declaración, diciendo que era «una mirada dura» en cómo se podría mejorar sus permisos y procesos.
«el Acceso a estas herramientas está estrictamente limitado y sólo se concede por motivos profesionales válidos», dijo la compañía.
No todos los empleados orientados en la lanza-ataque de phishing que tenían acceso a las herramientas de la casa, Twitter dijo – pero sí tienen acceso a la red interna y otros sistemas.
una Vez que los atacantes habían adquirido las credenciales de usuario para dejarlos dentro de Twitter de la red, la siguiente etapa de su ataque fue mucho más fácil.
estaban destinados a otros empleados que tenían acceso a los controles de cuenta.
Análisis
Por Joe Ordenado, ciber-seguridad reportero
Twitter no es la clarificación de si o no a sus empleados fueron engañados por un correo electrónico o una llamada de teléfono. El consenso en la seguridad de la información de la comunidad es que fue el último.
Llamada spear-phishing, comúnmente conocido como el vishing, es el pan y la mantequilla de la ordenación de los hackers que se sospecha de este ataque.
Los criminales obtienen los números de teléfono de un puñado de personal de Twitter y, mediante el uso amigable de la persuasión y el engaño, los tienes a mano sobre nombres de usuario y contraseñas que les dio un primer punto de apoyo en el sistema interno.
Twitter hack: ¿Qué salió mal y por qué es importante el FBI investiga las principales Twitter hack
Como Twitter pone, los estafadores «explotado las vulnerabilidades humanas». Usted puede imaginar lo que posiblemente fue:
Hacker Twitter empleado: «Hola, soy nuevo en el departamento y me he encerrado en mí mismo fuera de la cuenta de Twitter portal interno, ¿me puede hacer un gran favor y me da el inicio de sesión de nuevo?»
El hecho de que personal de Twitter fueron susceptibles a estos ataques básicos es vergonzoso para una empresa construida en estar a la vanguardia de la tecnología digital y la cultura de internet.
Twitter dijo que la inicial de spear-phishing intento de ocurrido el 15 de julio – el mismo día en que las cuentas fueron comprometidas, lo que sugiere que las cuentas fueron acceder en cuestión de horas.
«Este ataque se basó en una significativa y concertada intento de inducir a error a determinados empleados y explotar las vulnerabilidades humanas para tener acceso a nuestros sistemas internos», dijo la compañía.
«Este fue un recordatorio visible de la importancia que tiene cada persona de nuestro equipo es en la protección de nuestro servicio.»
reproducción de Medios no es compatible en el dispositivo de Medios captionTechnology explica: ¿Qué es el phishing?
Twitter no el estado si el ataque involucrados llamadas de voz, a pesar de un informe anterior de Bloomberg indica que al menos uno de los Twitter de los empleados fue contactado por los atacantes a través de una llamada de teléfono.
el Phishing es más comúnmente se hace por correo electrónico y mensaje de texto, animando a los receptores a hacer clic en enlaces que llevan a sitios web falsos en el registro-en las pantallas.
Spear-phishing es una versión de la estafa dirigida a una persona o a una empresa específica, y generalmente es altamente personalizada para hacer más creíble.
