Twitter事件总回顾：130个帐户及业界反馈

Twitter巨头透露，在最近对Twitter的攻击中，大约有130个帐户成为目标。

在攻击者设法获得对内部Twitter系统和工具的访问权限之后，这些帐户便遭到了破坏。在诸如Jeff Bezos，Joe Biden，Mike Bloomberg，Bill Gates或Elon Musk之类的备受关注的账户发布与加密货币骗局相关的消息之后，这种黑客行为变得特别明显。

事件被发现后不久，Twitter删除了虚假消息，暂停了受感染的帐户，并采取了行动以限制对内部工具的访问。

在几小时前发布的一份声明中，该公司还透露，攻击者在攻击过程中锁定了大约130个帐户，但实际上其中只有一部分受到了攻击。

“根据我们现在所了解的情况，我们认为，作为事件的一部分，攻击者以某种方式针对了大约130个账户。对于这些账户的一小部分，攻击者能够从这些账户获得账户控制再发微博，”该公司指出。

该公司还指出，它目前正在与帐户所有者合作，以恢复对受影响帐户的访问，并且尚未确定与受影响帐户相关联的非公开数据是否已受到破坏。

“在调查过程中，我们还采取了积极的步骤来保护我们的系统。该公司表示，我们仍在评估我们可能采取的长期措施，并将尽快分享更多细节。

尽管Twitter尚未透露攻击者如何设法访问其内部工具，但其中一些被其帐户入侵的攻击者已经共享了有关如何劫持帐户的详细信息。

受影响的帐户之一是@ 6，该帐户以前由已故的黑客Adrian Lamo拥有，现在由安全研究人员使用Lucky225的Twitter手柄控制。

在Lucky225的“中型”帖子中，他们解释了攻击者使用Twitter的内部工具更改了其拥有地址的帐户的电子邮件，然后他们提示密码重置，从而导致重置代码发送到攻击者的电子邮件，从而允许他们访问该帐户。

“攻击者能够使用门户网站访问权限来更新该帐户的归档电子邮件地址，撤消所有2FA设置，然后重置密码以访问该帐户。研究人员说，这对他们的优势是，当Twitter员工更新文件中的电子邮件地址时，它不会向该帐户的所有者发送通知。

看来@ 6帐户的泄密不是影响许多其他知名帐户的加密货币骗局事件的一部分，而是使用相同的技术执行的。

调查记者布莱恩·克雷布斯（Brian Krebs）透露，此事件很可能是从事SIM交换的威胁行为者的工作，在Twitter事件发生前几天，吹牛者吹嘘自己有能力更改与社交媒体平台上任何帐户相关联的电子邮件地址。

他透露，这些行为者要价250美元，以重置电子邮件地址，但还声称他们可以提供对帐户的直接访问，以每个帐户2,000至3,000美元的价格出售。

Tessian的首席技术官Ed Bishop在一封电子邮件评论中指出：“攻击者必须了解Twitter的系统，或者花时间四处闲逛，以学习如何后门进入人们的帐户并代表他们发推文。”

业界综合反馈：

F-Secure首席研究官MikkoHyppönen：

“这是Twitter历史上最大的安全漏洞，但普通用户完全不受此漏洞的影响-除非他们为被黑客入侵的名人发布的骗局所迷。

这种黑客入侵的方式还意味着，没有任何用户可以阻止它的发生。

到底; 这本来会更糟。Twitter非常重要，重要的人在那里拥有大量的追随者-但即使是Snapchat和Reddit，其用户也超过Twitter。社交媒体中真正的大猩猩是Instagram，YouTube和Facebook。

这次攻击本来可以做的比尝试将比特币骗走更糟。攻击者有权使用一切。他们本可以在Twitter上做任何事情。例如，在今年11月的投票期间，他们本可以以美国总统候选人的名义发推文。

Saviynt网络安全专家Melody J. Kaufman：

“我不认为这完全是比特币骗局，而是概念证明，比特币只是一种附带风险。我认为最终目的是证明高知名度账户容易受到攻击，并且可以代他人转为消息。围观者似乎认为攻击者已经获得了他们想要的东西，所以比特币角度可以很好地掩盖真实动机。

黑客有很多原因想要破坏知名的社交媒体帐户。影响力已成为一种货币，可以用来购买很多东西。鉴于我们已经看到了社交媒体可以用来影响民意的方式，并且鉴于这是选举年。在我看来，一旦您有了可以证明这些经过验证的帐户可以被黑客入侵的概念证明，就有两个简单的逻辑飞跃。一种是破坏Twitter系统的信誉，这种信誉使怀疑的阴影笼罩在备受瞩目的个人的合法声明上。另一种可能性是将来可能破坏此类帐户，并以更微妙的方式传播更改后的消息，以利用其影响力来影响州和国家问题。

Twitter的主要漏洞归结为信任内部用户和验证外部方身份方面的挑战。从我们看到的情况来看，攻击是通过内部用户或使用其凭据发起的。如果通过更好的控制（例如，与“已验证”用户相关的任务的第二次用户签发）（更像许多记帐系统的操作方式）更紧密地保护了允许访问这些高知名度帐户的管理系统，则该攻击要么早已被阻止，要么或完全封锁。”

卡巴斯基GReAT总监Costin Raiu：

“昨天发生的攻击可能是Twitter上最严重的安全事件之一，即使不是最严重的事件。过去，我们曾看到一些高知名度帐户的折算，这些折算曾用于发布与加密货币相关的骗局，但与这一骗局相比却显得微不足道。例如，@ Jack在2019年通过SIM卡交换攻击被黑客入侵，特朗普总统的账户被Twitter员工删除。但是，当前攻击的范围要大得多，影响到许多顶级客户，加之成千上万的追随者。

看来，该事件是一次性事件，其中利用了某种类型的访问权限来促进快速而非法的财务利润计划。目前，我们尚不知道背后的幕后黑手，但是，与加密货币有关的骗局可能暗示了一个受金融利润驱动的犯罪集团。一个民族国家将使用其访问权限来收集私人信息（例如，来自感兴趣的人的DM），而不是高级公司帐户。

此时，以报告的形式公开进行的彻底，详细的调查对于重新获得用户的信任至关重要。需要逐步解释此漏洞，攻击者使用了哪些技巧以及利用的漏洞（如果有）。Twitter支持发布的一些信息表明，他们的雇员已成为社会工程计划的目标；很难理解Twitter员工将不会受到2FA保护自己的访问权限，因此这引发了有关社交工程攻击如何成功的疑问。最后但并非最不重要的一点是，为确保平台不受将来的滥用而采取了哪些措施对于恢复用户的信心至关重要。我相信Twitter将努力消除可能已经使用的任何安全漏洞，

国家网络安全联盟（NCSA）执行董事Kelvin Coleman：

“正如我们最初推测的那样，最近的Twitter违规背后的最新发现全都表明员工在协调的社会工程学攻击中扮演的角色（据称是隐性的），该攻击利用了一组受损的凭据来促成这种规模和规模的违反。鉴于事件的“内部”性质，此攻击引发了围绕人员，流程和技术的总体概念的更大问题。

尽管Twitter可能拥有一支强大的内部安全团队来监视跨设备的平台，并积极促进使用更强大的密码和2FA，但人为因素仍然是造成此类情况的最不可预测的因素。很难预测和缓解人们将如何考虑潜在的违规行为，但是对于其他平台和科技公司而言，这应该是一种学习经验，以鼓励他们审查并执行有效的事件响应计划。”

F-Secure首席安全顾问Antti Tuomi：

“攻击者不是在追逐亿万富翁本人，而是在利用他们的声誉和权威作为平台，使骗局看起来更可信，并尽可能扩大受众范围。

诈骗者和网络钓鱼活动使用的基本心理工具包使用三种主要方法来诱使受害者陷入骗局：胁迫策略（例如产生紧迫感）；蜜罐战术（根据目标的欲望和好奇心发挥作用）；伪装策略使骗局看起来像是来自一个可信且值得信赖的政党。这些策略有助于使受害者解除武装，并使他们更有可能采取行动，而不必考虑机会是否确实太过难以置信。

在这种情况下，使用受人尊敬且受信任的人物的官方Twitter帐户来了解可见性和看似可信赖度（隐瞒策略），以及即时货币收益的可取性（可取性），以及潜在的COVID-19和个人理财的困扰（压力策略）促成成功的竞选活动。”

Vectra咨询服务高级顾问Battista Cagnoni：

“除了合法用户非法使用管理工具之外，内部人员流氓或受骗的员工也很难发现，这就是为什么特权访问在众多漏洞中仍然是关键的攻击媒介的原因。在全球最大的社交媒体平台之一上进行的备受瞩目的攻击，在财务收益方面似乎取得了有限的成功，但由于显而易见的原因，它在可见度和损害品牌声誉的潜力方面产生了重大影响。在接下来的几个小时和几天里，事件响应者将努力确定整个折算方案，并寻找远程编排的任何证据，以防攻击者能够渗透并在Twitter的系统内获得持久性。”

IronNet网络运营副总裁Anthony Grenga：

“即使是最成熟的技术人员，例如Twitter的技术人员，也常常忽略了网络安全的人为因素。如果仔细观察，您会发现此攻击类似于Paige Thompson于2019年发生的AWS漏洞。尽管那是对AWS服务的实际操纵和利用，但是由于对AWS的独特了解以及机会，才进行了这种操作。同样，这里的Twitter员工也可以使用管理面板“接管”帐户。这两种情况代表了未来网络安全格局的主要担忧之一。

只有在为公司工作时才能获得的特定知识或访问权限会造成一系列极端威胁。即使内部人员可能没有恶意意图，机会（贿赂，裁员，意见冲突）也可能使规模扩大。在这种情况下，通过管理员面板访问权限的欺诈者很可能来自以前从未访问过该面板的范围。因此，检测到此问题的唯一方法是使用某种类型的访问日志和行为分析。此外，人们一直在猜测攻击者的数据是否转储了DMS和其他私人信息。

但是，我认为更大的问题是Twitter拥有一个管理面板，该面板提供对可通过Internet访问的Twitter帐户的巨大访问权限。该面板的访问权限应已被IP限制为已知IP地址，并受到监视。这直接表明需要改进的行为分析，尤其是数据泄露分析，例如用于测量来自单个主机的流量变化和加速的极高速率，以及不寻常的日报表，以显示用户何时在不在线的情况下采取行动。”