Больше тысячи сотрудников и контрагентов Twitter имели доступ к внутренним инструментам, позволявшим менять имена пользователей и передавать управление аккаунтами другим людям. Об этом пишет Reuters со ссылкой на двух бывших сотрудников компании.
По их словам, слишком много человек имело права доступа, что делало атаку подобного рода вполне вероятной. На прошлой неделе злоумышленники завладели аккаунтами знаменитостей, включая Илона Маска, Джо Байдена и Барака Обаму, для размещения приглашений в
мошенническую раздачу биткоинов. Доступ к инструментам был не только у самих сотрудников Twitter, но и у сторонних компаний, например американской IT-корпорации Cognizant, заявляют источники.
В Twitter отказались комментировать эту информацию, лишь отметив, что сейчас ищут нового директора по безопасности.
«Ответственность должна была быть распределена среди множества сотрудников, – заявил бывший директор по безопасности AT&T Эдвард Аморозо. – Следовало разграничить полномочия в соответствии с обязанностями. Также для внесения значимых изменений в аккаунты следует требовать согласия более одного сотрудника».
Кроме того, известно, что доступ к аккаунтам мировых лидеров был у значительно меньшего числа лиц. Он был ограничен два года назад, когда один из сотрудников удалил аккаунт Дональда Трампа. Во время последней атаки аккаунт Трампа взломан не был.
В ходе конференц-звонка по теме доходов компании в четверг CEO Twitter Джек Дорси признал недоработки: «Мы отстали, как в защите своих сотрудников от социальной инженерии, так и в ограничении доступа ко внутренним инструментам».
