超过一千名Twitter员工和承包商可以使用内部工具

两名前雇员表示，截至今年早些时候，超过一千名Twitter员工和承包商可以使用内部工具，这些工具可以更改用户帐户设置和对其他人的手动控制，因此很难防范发生的黑客入侵上星期。

Twitter和FBI正在调查该漏洞，该漏洞使黑客能够反复验证来自民主党总统候选人乔·拜登，亿万富翁慈善家比尔·盖茨，特斯拉首席执行官埃隆·马斯克和前纽约市长迈克·彭博格等人的已验证帐户的推文。

Twitter周六表示，作案者“操纵了少量员工，并使用他们的证书”登录工具并移交了45个帐户的访问权限。该公司周三表示，黑客本来可以从36个帐户中读取直接消息，但无法识别受影响的用户。

熟悉Twitter安全实践的前雇员表示，做过同样的事情的人太多了，到2020年初超过了1000人，其中包括Cognizant这样的承包商。

Twitter拒绝对此数字发表评论，也不会透露该数字是在黑客入侵之前还是之后有所下降。Twitter说，该公司正在寻找一个新的安全负责人，以更好地保护其系统安全，并培训员工抵御外来者的欺骗手段。Cognizant没有回应置评请求。

AT&T前首席安全官爱德华·阿莫罗索(Edward Amoroso)说：“这听起来好像有太多人可以进入。”工作人员的职责应该分开，访问权限仅限于这些职责，并且需要超过一个人同意进行最敏感的帐户更改。“为了正确地进行网络安全，您不能忘记无聊的事情。”

网络安全专家说，内部人员的威胁，特别是低薪的外部支持人员的威胁，一直是为服务大量用户的公司带来的担忧。他们说，可以更改关键设置的人数越多，监督就必须越强。

绊倒

这位前雇员表示，在经历先前的失误之后，Twitter的日志记录有所改善，包括去年11月被指控为沙特阿拉伯政府从事间谍活动的一名雇员对记录的搜索。

但是，尽管日志记录有助于调查，但只有警报或不断的审核才能将日志变成可以防止违规的内容。

思科系统公司前首席安全官约翰·斯图尔特(John Stewart)表示，具有广泛访问权限的公司需要采取一系列缓解措施，并“最终(确保)最强大的授权人员只能按照他们的预期去做。”

尚不清楚究竟是谁真正发起了这次黑客大潮，但外部研究人员(如221B部门的艾莉森·尼克松)表示，此事件似乎与一群定期交易新颖性标志(尤其是一到两个字符的帐户名称)的网络犯罪分子有关。有点像在线世界的虚荣车牌。

尽管将黑客与这些人联系在一起的公开证据是偶然的，但超短的Twitter句柄是最早被劫持的人之一。

另外，StopSIMCrime的分析师Nixon和Nick Bax说，长期以来，这些黑客活跃的论坛上充斥着