Twitter违规反应：安全专业人员提供早期评估

@jack已被伪装。

星期三下午，由于主要的加密货币账户开始发推文，他们与一个名为“ Crypto For Health”的假冒网站合作，发放了5,000个BTC的赠予，所有Twitter都大肆宣传。

这是一个骗局，但能够骗取Twitter上最大的帐户，包括前总统巴拉克·奥巴马（Barack Obama）的帐户，这是世界上追踪次数最多的帐户。

阅读更多：我们所知道的关于比特币骗局的所有信息都在震撼Twitter的最重要帐户

CoinDesk与安全专家联系，对于该漏洞有各种各样的见解，但他们都同意，问题不在于每个被盗帐户的所有者。 他们说，这种违规行为可能是由于第三方应用程序已插入人们的Twitter帐户，也可能来自社交媒体巨头本身。

包括安全性的管理合伙人埃里克·卡贝塔斯（Erik Cabetas）在一封电子邮件中对CoinDesk表示：“无论最终的根本原因是什么，这笔破旧的总使用量对我来说都是一种新颖且可大规模利用的东西，而不是众所周知且有针对性的东西。” 。

来自欧洲一家公司的名为Detectify的另一位安全专家Cabetas和FransRosén将CoinDesk指向此推文，其中详细介绍了以下内容：

（OTP代表“一次性密码”，这是2FA常用的一种安全方法，即“两因素识别”。）@ 6帐户代表Adrian Lamo，他是一名拥有163,000名追随者的新闻工作者，他现在已经将私人帐户。

曾是AgileBits（1Password的制造商）和Cosmos的Tendermint的安全专家Jessy Irwin表示，有很多方法可以入侵大型帐户。

她写道：“存在无止境的OAuth集成，允许第三方服务访问平台的API以及一些SMS功能。” “[Twitter has] 已经做了一些工作来改善授权和认证，但是，如果您是超级用户，或者您有团队在为您发布消息，则保护该服务仍然非常困难。”

网络安全协作组织（Cyber??security Collaborative）的Parham Eftekhari警告说，所有安全专业人员都可以推测。 攻击的规模和Twitter的沮丧回应表明，这个问题可能是一个深层的问题：

鸟舍里面

许多邻近安全的帐户都在谣传该漏洞实际上来自Twitter内部，这暗示着各种数据都可能遭到破坏。

智能合约审计公司Quantsamp的创始人Richard Ma告诉CoinDesk，他的团队认为问题出在Twitter的旧金山总部。

“根据我们到目前为止收集到的信息，这是内部Twitter安全漏洞。 黑客能够破坏Twitter并获得对内部管理员功能的访问权。”他告诉CoinDesk。

欧文补充说：

“这是一个’愚蠢’的黑客行为，但看起来以及人们为何有动机入侵事物的动机也很重要。一些黑客喜欢看着世界在燃烧-事实就是如此。这可能是一场旨在使Twitter显得愚蠢或愚蠢的运动。对于它在公共话语中的作用没有做好充分的准备。”

埃夫特克哈里（Eftekhari）同意，并指出重要的是要记住我们正处于大选之年，推特（Twitter）是美国事实上的通信机构，这可能会吸引对立的民族国家。

毕竟，他指出，支出（到目前为止为106,200美元）很小。

阅读更多：奥巴马，拜登，内塔尼亚胡，麝香：这是每个被黑Twitter帐户的列表

欧文说，安全社区的员工已经注意到，网络犯罪分子使用的域名自4月以来一直处于活跃状态。 她说：“这表明这是一个已知问题或一个较新的漏洞，而最近并未引入。”

网络安全公司RiskIQ的威胁研究员Yonathan Klijnsma说，虽然他不能确定，但??有人猜测Twitter支持会员帐户被劫持了。

Klijnsma在一封电子邮件中对CoinDesk表示：“虽然我们不知道这是不是原因，但它可能解释了他们如何劫持了这么多帐户。” “ Twitter支持能够（通常）验证信息，然后帮助他们重新获得帐户，从而帮助被锁定帐户的用户。 获得支持成员帐户的访问权限可能会导致我们今天观察到的大规模且看似毫不费力的劫持。”

他说，通过这些Twitter帐户进行的持续骗局规模之庞大，似乎是个故事。

Klijnsma说：“但是RiskIQ能够跟踪更多的骗子在诈骗活动中使用的基础设施。” “到目前为止，我们已经确定了大约400个与这些骗局有关的域。”

骗局的来源

罗森（Rosén）向CoinDesk强调，他只能推测，但指出这些推文的来源是“ Twitter Web App”，并且Twitter支持人员指出人们可能期望重置会遇到麻烦。

这向Rosén建议“以某种方式违反了用于发送密码重设的服务”，并且“在重设密码时某些特定的流程使得可以访问Web应用程序。”

他警告说，这可能意味着攻击者除了发送推文（例如访问DM）以外，还可以做更多的事情。 安全公司Trail of Bits的丹·吉多（Dan Guido）广泛使用加密货币，他将CoinDesk指向他在该公司二级帐户上写的关于该事件的线索。 他指出：

“ Twitter从来都不擅长保护自己的数据。在2009年对其后端进行了黑客攻击（非常类似于今天！）之后，FTC禁止Twitter对其安全性提出20年的声明。”

Quantstamp的Ma表示，此事件可能巩固加密货币忠实者的主要信念。

“总体而言，我认为这增强了许多人对加密社区中的数据自我托管的偏好，”马云说。 “许多Twitter用户在使用对他们的帐户具有特殊特权的第三方平台时并不了解他们所提供的完全控制权。”

—-

原文链接：https://www.coindesk.com/twitter-breach-reactions-security-professionals-offer-an-early-assessment

原文作者：Brady Dale

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。