Twitter Breach destaca la cuenta privilegiada …


El incidente de seguridad que permitió a los atacantes secuestrar cuentas de alto perfil sugiere que los controles del gigante de las redes sociales para detectar el abuso de información privilegiada no fueron lo suficientemente fuertes, dicen los expertos en seguridad.

La violación de seguridad de la semana pasada en Twitter, que resultó en que los atacantes enviaran tweets en nombre de varias personas de alto perfil, ha centrado la atención una vez más en los desafíos que enfrentan las organizaciones para proteger las cuentas con acceso privilegiado a los sistemas y datos internos.

En un actualizar Durante el fin de semana, Twitter dijo que sus investigaciones hasta el momento mostraron que alguien usó la ingeniería social para obtener credenciales pertenecientes a un pequeño número de empleados y luego las usó para evitar las protecciones de dos factores y acceder a un sistema interno clave.

Los atacantes utilizaron su acceso para apuntar a 130 cuentas de Twitter, incluidas varias pertenecientes a personas de alto perfil como el candidato presidencial demócrata Joe Biden, el ex presidente Barack Obama y líderes empresariales como Monthly bill Gates, Jeff Bezos y Elon Musk.

Con 45 de las cuentas, los atacantes pudieron restablecer las contraseñas, iniciar sesión en las cuentas y enviar tweets, todo sin alertar a los propietarios de la cuenta hasta después del hecho. Los tweets instaron a los usuarios a enviar Bitcoin a una dirección contenida en el mensaje dentro de un período específico y obtener el doble de la cantidad a cambio.

Con ocho de las cuentas comprometidas, los atacantes también pudieron descargar información detallada sobre sus perfiles de Twitter utilizando la herramienta «Sus datos de Twitter». Los datos a los que pudieron acceder los atacantes incluyeron nombres de usuario, direcciones de correo electrónico, números de teléfono, historial de inicio de sesión, incluida la información de inicio de sesión y de ubicación, los navegadores y dispositivos móviles asociados con las cuentas, cuentas bloqueadas y silenciadas, y todo el historial de tweets.

«Se especula mucho sobre la identidad de estas 8 cuentas», admitió Twitter en un Pío 17 de julio. «Solo divulgaremos esto a las cuentas afectadas, sin embargo, para abordar algunas de las especulaciones: ninguna de las ocho eran cuentas verificadas».

El gigante de las redes sociales dijo que continúa revisando todas las acciones que los atacantes podrían haber tomado usando las cuentas comprometidas y que la evidencia sugiere que se han hecho intentos para vender al menos algunos de los nombres de usuario.

Melody Kaufmann, especialista en ciberseguridad en Saviynt, dice que el hack es indicativo de fallas de seguridad importantes en Twitter en múltiples frentes. En primer lugar, parece que demasiadas personas dentro de la empresa tenían acceso a cuentas verificadas. También hay preguntas sobre si Twitter tenía controles para garantizar que ningún individuo pudiera alterar cuentas confiables sin algún tipo de supervisión y aprobación, una práctica recomendada para protegerse contra el abuso de cuentas privilegiadas.

«Al integrar alguna medida de verificación cruzada, se plantea el desafío de ejecutar dicho ataque, ya que ahora requiere que varias cuentas o personas con acceso privilegiado se vean comprometidas al mismo tiempo», dice Kaufmann.

Abuso de cuenta privilegiada
Un informe de la Los New York Moments, basado en conversaciones con algunas de las personas presuntamente involucradas en los ataques, sugiere que un puñado de personas desconectadas, en lugar de una pandilla sofisticada o un actor de estado-nación, estuvo detrás del incidente.

Según el Occasions, un pirata informático que utiliza el identificador «Kirk» de alguna manera obtuvo el regulate de un panel de administración en Twitter que le permitió hacerse cargo de casi cualquier cuenta de Twitter. El pirata informático aparentemente trabajó con al menos otras dos personas con los nombres «jajaja» y «muy ansioso» para intentar vender cuentas de Twitter a los cibercriminales. «Lol», a quien el Instances describió como de unos 20 años y viviendo en la costa oeste, y «muy ansioso», un joven de 19 años en el sur de Inglaterra, aparentemente facilitó la venta de algunas cuentas de Twitter comprometidas y la adquisición. de algunas cuentas de Twitter menos conocidas, pero no las de alto perfil.

UNA Informe de la CNN, basado en conversaciones con ex empleados de Twitter, describe la herramienta a la que Kirk probablemente tuvo acceso como una plataforma administrativa conocida como «herramientas de agente» o «IU de servicios de Twitter», que permite a los empleados responder a consultas de servicio al cliente y contenido moderado. Cientos de empleados de Twitter tienen acceso a tales herramientas, dice CNN.

Falta de controles
Tony Howlett, CISO de SecureLink, dice que en base a la aparente capacidad de los hackers para hacerse cargo de las cuentas tan fácilmente, es probable que Twitter no esté haciendo ningún análisis de fraude para capturar envíos de ubicaciones, horarios y otros factores extraños.

«Esta tecnología es común para nuestras tarjetas de crédito y cuentas bancarias, entonces, ¿por qué no la usarían para sus cuentas VIP, que abarcan a los líderes y gobernantes de la mayoría de las entidades gubernamentales del planeta?» Howlett pregunta.

Tampoco hubiera sido una mala strategy para Twitter tener algún tipo de filtro de palabras clave, por lo que si el CEO de una gran empresa o un ex presidente repentinamente tuitearan sobre Bitcoin, habría sabido que algo estaba pasando, dice.

«Según la información disponible públicamente, que es mínima en este momento, parece que este incidente se encuentra principalmente en Twitter», dice Howlett.

Según Kaufmann, el ataque también sugiere que Twitter necesita mejorar el seguimiento de los registros de esta interfaz administrativa. Debería haber sido capaz de detectar a una persona de soporte o cuenta privilegiada tomando medidas administrativas en un mayor porcentaje de cuentas verificadas en relación con sus pares.

«Este very simple paso solo habría señalado que un usuario se vio comprometido al principio del ataque», dice ella.

El ataque de Twitter ha suscitado una gran preocupación, incluso entre los legisladores estadounidenses, debido a la influencia de la plataforma en los últimos años.

Los políticos, activistas y muchos otros de todo el mundo usan Twitter ampliamente para todo, desde hacer anuncios de políticas y comunicar decisiones comerciales y comerciales hasta expresar opiniones y obtener apoyo para diversas causas. Muchos han dicho que los atacantes podrían haber utilizado fácilmente su acceso para crear estragos sustanciales tuiteando información engañosa en nombre de algunas de las personas más influyentes de la plataforma.

«La influencia se ha convertido en una forma de moneda con la que se pueden comprar muchas cosas», dice Kaufmann.

Al mostrar cómo incluso las aplicaciones de Twitter verificadas y seguras pueden ser pirateadas, los atacantes podrían haber estado tratando de dañar la credibilidad de Twitter y arrojar una sombra de duda sobre las declaraciones legítimas de personas de alto perfil, agrega.

«La otra posibilidad es comprometer potencialmente esas cuentas en el futuro y difundir mensajes alterados de maneras más sutiles para aprovechar su influencia para impactar los problemas estatales y nacionales», dice Kaufmann.

Contenido relacionado:

Regístrese ahora para el Black Hat United states of america totalmente virtual de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio world wide web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia original