Twitter: hackers kregen toegang tot interne systemen via social engineering

De grootschalige hack van Twitter-accounts woensdagavond, is volgens de dienst het gevolg van social engineering. Volgens het sociale netwerk heeft er een gecoördineerde aanval plaatsgevonden op medewerkers die toegang hebben tot interne systemen.

Na uren van onderzoek bevestigde Twitter donderdagochtend dat hackers toegang hebben tot interne systemen en tools van sommige van zijn medewerkers. De dienst zegt een gecoördineerde aanval gedetecteerd te hebben, waarbij hackers gebruikgemaakt hebben van social engineering.

De hackers kregen zo toegang tot geverifieerde accounts van prominenten en grote bedrijven. Op die account werden cryptoscams geplaatst. Twitter zegt nog te onderzoeken of de hackers ook andere activiteiten hebben uitgevoerd en toegang hebben gehad tot andere informatie. Het lijkt erop dat de hackers volledig toegang hadden tot de accounts en dus ook dm's in konden zien.

Als maatregel om de verspreiding van de cryptoscams tegen te gaan, heeft Twitter de mogelijkheden van geverifieerde accounts beperkt. Die konden daardoor geen nieuwe berichten plaatsen. Twitter zegt dat veel gehackte accounts door de dienst 'op slot' gezet zijn en dat toegang voor de oorspronkelijke eigenaar hersteld wordt als 'zeker is dat dit veilig kan'.

Twitter zegt intern significante stappen genomen te hebben om toegang tot de gecompromitteerde systemen en tools te beperken. De hackers hebben mogelijk nog altijd toegang; Twitter zegt dat het onderzoek nog verder loopt.

Volgens bronnen van Motherboard hebben hackers een insider bij Twitter betaald om toegang te krijgen tot systemen. In de hackingscene worden afbeeldingen gedeeld van het controlepaneel waar toegang toe is gekregen. Twitter verwijdert screenshots die daarvan gedeeld worden. Met de tool konden de hackers de e-mailadressen van Twitter-accounts wijzigen.

Een persoon die claimt betrokken te zijn bij de hack, zegt tegen TechCrunch dat een hacker die bekend staat als 'Kirk' aanvankelijk begon met het verkopen van toegang tot accounts met een korte gebruikersnaam. Daarna zou de hacker begonnen zijn met het verspreiden van cryptoscams op accounts van Binance en andere crypto-exchanges. Afgaande op de inkomende transacties van het meestvoorkomende bitcoinadres dat bij de cryptoscam werd geplaatst, is er zo'n 12,86 bitcoin overgemaakt. Dat is momenteel zo'n 104.000 euro.

Controle-paneel van Twitter - Afbeeldinginen via Motherboard

Afbeeldingen van het controlepaneel waar hackers toegang toe hebben. Screenshots via Motherboard.

IT-banen

Reacties (185)

Menkoro 16 juli 2020 08:08

Toch wel bijzonder. Zoveel moeite steken in een grootschalige hack, maar dan zulke knullige berichten plaatsen. Ze hebben wat Bitcoin weten te jatten, maar met een wat minder voor de hand liggende scambericht hadden ze heel wat meer buit weten te maken lijkt me.

sambalbaj @Menkoro • 16 juli 2020 08:16

Of zijn die Bitcoinberichten enkel de afleiding geweest en ging het echt om de DM's en gegevens?
Qua geld is het nu aardig, maar zeker niet denderend voor zo'n uitgebreide hack. De buitgemaakte info is mogelijk meer waard.

Ford Prefect @sambalbaj • 16 juli 2020 09:06

Heeft die tool uberhaupt wel toegang tot DM's? Ik dacht namelijk dat Twitter DM's al sinds een paar jaar encrypted waren?

Verwijderd @Ford Prefect • 16 juli 2020 09:14

Dat zegt nog niet zoveel. De meeste email is ook encrypted als het verstuurd wordt maar door ieder email systeem weer volledig te lezen als hij er door heen gaat.

n9iels

@Ford Prefect • 16 juli 2020 09:36

Ik denk dat de toegang tot deze accounts niet direct vanuit deze tools was. Denk eerder dat met deze tools 2FA is uitgeschakeld en een wachtwoord reset is uitgevoerd. Dan kun je daarna als de "echte" gebruiker inloggen

field33P @Ford Prefect • 16 juli 2020 09:57

Encryptie heeft in deze alleen weinig nut als Twitter’s decryptiesleutels aanwezig moeten zijn op de server om DM’s leesbaar te maken op ieder apparaat waarop ingelogd wordt.

mobrockers @Ford Prefect • 16 juli 2020 11:44

Via de tool kon het email adres van de accounts gewijzigd worden, zo het wachtwoord resetten en toegang krijgen tot de accounts. Zo heb je dus ook toegang tot de DM's.

bas1286

@Ford Prefect • 16 juli 2020 23:28

DM's zijn niet encrypt:

Ron Wyden, a Democratic senator, said in a statement that in a private meeting in 2018, Twitter’s chief executive Jack Dorsey said the company “was working on end-to-end encrypted direct messages,” a kind of encryption that would prevent even Twitter from reading users’ messages. “It has been nearly two years since our meeting, and Twitter DMs are still not encrypted, leaving them vulnerable to employees who abuse their internal access to the company’s systems, and hackers who gain unauthorized access,”

[Reactie gewijzigd door bas1286 op 22 juli 2024 15:37]

Cergorach @sambalbaj • 16 juli 2020 09:44

Wellicht dat dit puur een demonstratie is dat ze die tool hebben en dat deze nu op het 'darkweb' verkocht gaat worden. Mogelijk dat Twitter wel wat gaat blokkeren, maar geeft waarschijnlijk veel meer inzicht in hoe Twitter werkt en kan wellicht gebruikt worden voor andere aanvallen.

Aan de andere kant zit ik me af te vragen waarom deze selectie accounts is gehacked, is daar een politieke lijn in te trekken?

laptopleon @Cergorach • 16 juli 2020 12:48

Tja, voor Twitter is het vrij simpel de tool of beter gezegd hun systeem nu zodanig aan te passen dat dat niet meer werkt.

Alles bij elkaar begrijp ik nooit zo goed wat zo'n hacker hiermee denkt te bereiken. Je trekt ontzettend veel verkeerde aandacht van Justitie en anderen. Je moet de rest van je leven ogen in je rug hebben en altijd uitkijken dat je jezelf niet verraadt of gelinkt wordt aan dit soort acties. Als je gepakt wordt, heb je veel meer problemen dan je met een ton (of een veelvoud ervan) kunt verhelpen.

Verwijderd @sambalbaj • 16 juli 2020 10:06

Of ze zijn gewoon niet heel creatief en hebben 'slechts' 100k buitgemaakt. Toch niet slecht, er zijn genoeg mensen die niet zoveel verdienen in een jaar of zelfs meerdere jaren.

Verwijderd @Verwijderd • 16 juli 2020 16:32

Zeg maar gerust tientallen jaren. Er zijn nog genoeg landen waar ze een heel gezin een week kunnen voeden van een gemiddeld Nederlands dagloon.

Sand0rf @Menkoro • 16 juli 2020 08:24

Ze hadden veel meer geld kunnen verdienen door bijvoorbeeld te Twitteren dat Elon Musk zou stoppen als CEO van Tesla of dat er grote problemen met batterijen zijn. Die aandelen storten dan in, vervolgens koop je aandelen op het laagste punt en verdien je als de aandelen herstellen...

We mogen blij zijn dat ze niet alle invloed die ze hadden/hebben ook hebben gebruikt... Dit had voor enorme schade kunnen zorgen

mocean @Sand0rf • 16 juli 2020 08:45

Bitcoins zijn een stuk anoniemer dan put-opties.

Cergorach @mocean • 16 juli 2020 09:41

Bitcoins zijn een stuk anoniemer totdat deze worden uitgegeven. Geld zonder het ooit uit te geven heeft eigenlijk geen waarde meer...

@Bob Popcorn En ook na tumbelen is het nog vrij eenvoudig te tracken, je heb alleen meer lijntjes en een paar honderd of een paar duizend lijntjes is nog steeds veel makkelijker te tracken dan cash geld of goud.

[Reactie gewijzigd door Cergorach op 22 juli 2024 15:37]

Bob Popcorn @Cergorach • 16 juli 2020 09:56

Bitcoins zijn vrij eenvoudig te tumblen en daarna te exchangen voor cash.

telenut @Bob Popcorn • 16 juli 2020 10:04

tot je eens veel geld van een exchange wil halen. Die moeten echt alles van je weten voor dit lukt... en er van halen= overschrijven naar een rekening. Die bank moet dan ook plots weten van waar dit geld komt en dit aangeven...
Nee, zo simpel is het toch allemaal niet :-)
Nu, als het maar over 100K gaat, dan zal het wel nog lukken.

Bob Popcorn @telenut • 16 juli 2020 10:11

Kijk, het gaat er niet om dat de bitcoins anoniem worden... het gaat er om dat de bitcoins anoniem genoeg worden dat je ze kan verkopen (op een Ledger Nano bijvoorbeeld) voor fiat. Het doel van de hackers is om er zelf tussenuit te knijpen.

The_Woesh @telenut • 16 juli 2020 13:24

Je hoeft niet langs een exchange of naar een bank.
Er zijn namelijk criminelen met heel veel contant geld. bv drugscriminelen die contant betaald krijgen van de gebruikers. Die kunnen niet naar de bank, dus die ruilen cash in voor bitcoins. Je moet ze alleen wel vinden.

Die bitcoins gebruiken ze als spaarpot of om andere criminelen te betalen. De drugscrimineel zal zijn leverancier ook moeten betalen en hij stuurt liever een paar bitcoins dan met z'n onderbroek vol cash het vliegtuig instappen.

twizzle @The_Woesh • 17 juli 2020 01:32

Precies dit, je hoeft de bitcoins niet in fiat om te zetten maar kunt er andere dingen die je normaal met cash zou moeten betalen mee betalen.

Hedva @telenut • 16 juli 2020 14:27

Geldezels. En er zijn er veel meer van dan je denkt.
Een hele hoop mensen zijn het omdat ze eenvoudig wat euro's verdienen door wat geld te pinnen. Vervolgens zijn ze de sjaak. Maar de gene voor wie ze het deden zijn nergens meer te vinden.

Ze hebben 100.000 binnen twee dagen opgehaald met 25 geldezels.

mocean @telenut • 16 juli 2020 15:14

Ik zei ook anoniemER, niet dat het ineens makkelijk is.

bamboe @mocean • 16 juli 2020 18:03

Ach als ze het op een gegeven moment goed digitaal hebben opgezet word het wel gemakkelijke om de zelfde road vaker te gebruiken om hun cash te krijgen. Er zijn vast wel manieren om overboekingen met bitcoins te automatiseren.

Verwijderd @Cergorach • 16 juli 2020 10:38

@Bob Popcorn En ook na tumbelen is het nog vrij eenvoudig te tracken, je heb alleen meer lijntjes en een paar honderd of een paar duizend lijntjes is nog steeds veel makkelijker te tracken dan cash geld of goud.

Vandaar dat bij vrijwel alle afpersing op dit moment coins als betaling dienen? Wat zijn boeven toch dom he?

Cergorach @Verwijderd • 16 juli 2020 11:01

Dat heeft niets met traceerbaarheid te maken, dat is een deel gemak en een deel veiligheid bij overdracht. Cash/goud overhandigen op een locatie is gevaarlijk voor de afperser, niet alleen om gepakt te worden, maar om zelf 'omgelegd' te worden of aangevallen te worden. Middlemen gebruiken kost geld en betekend meer bewegende onderdelen en dus meer kan op pakkans. Daarnaast is het lastig als je aan de andere kant van de wereld zit...

Wat wel gebeurd is dat andere criminelen crypto kopen voor cash, zij die met teveel cash zitten en het alles behalve portable maakt.

En boeven mensen zijn over het algemeen niet de slimste, daarom worden er relatief veel gepakt, betekend trouwens niet dat zij die ermee wegkomen super slim zijn, alleen dat ze totopheden de dans hebben ontsprongen...

M3m30 @Cergorach • 16 juli 2020 12:03

voldoende landen die niet 100% opletten of dat zelfs in de gaten houden.

mijsk1974 @Sand0rf • 16 juli 2020 08:46

Je kan ook verdienen als je een dalende koers succesvol weet te voorspellen door put-opties te kopen.
Maar de aandelenhandel is gereguleerd waarbij men in staat is het geld te volgen. Het is wel mogelijk maar dan zou je of meerdere bankrekeningnummers moeten gebruiken of reeds eerder een dergelijk handelsprofiel hebben bewerkstelligd waardoor je transacties niet afwijken van je normale handelwijze.
Maar dat zorgt dus allemaal voor sporen die te volgen zijn.

Dan is bitcoin makkelijker te misbruiken vanwege het gedereguleerde karakter.

Cerberus_tm

@mijsk1974 • 16 juli 2020 13:55

Het hangt er een beetje van af hoeveel geld je inlegt. De financiële sector is zo'n enorm waterhoofd, dat je best vele miljoenen zou kunnen verdienen op deze manier zonder dat het opvalt?

mocean @Cerberus_tm • 16 juli 2020 19:53

Als je vandaag een rekening opent bij DeGiro en 5 miljoen stort (die je dan ook nog eerst moet hebben), en dan massaal put opties van 1 aandeel koopt, dan valt dat wel op ja!

Cerberus_tm

@mocean • 16 juli 2020 21:16

Ja, maar je zou natuurlijk gebruik maken van een oudere rekening en gewoon eerst Tesla-opties kopen, dan een paar weken later dit flikken.

En al zou je het van een nieuwe rekening doen, dan nog zou er niets zijn om jou te verbinden met de hacks?

mkools24 @Sand0rf • 16 juli 2020 08:53

Maar ook voor een grote klopjacht op de hackers.

barney123 @Sand0rf • 16 juli 2020 09:08

Dan moet je wel eerst cash hebben he wat dit soort types vaak juist niet hebben

k995

Twitter

@Sand0rf • 16 juli 2020 10:13

Dan.moet je grote sommen geld klaar staan hebben in de reeele economie en onder jouw naam. Niet echt iets wat de doorsnee hacker heeft of wil.

laptopleon @Sand0rf • 16 juli 2020 12:51

Om daar zelf wat mee op te schieten, zou de hacker / zijn klant vooraf opvallend grote posities moeten hebben ingenomen op dit aandeel. Dat is achteraf natuurlijk makkelijk na te gaan…

pim @Sand0rf • 16 juli 2020 14:43

Idd bizar dat de schade slechts $100,000 is.. Dit had écht makkelijk miljarden schade kunnen veroorzaken.

Qu3st @Menkoro • 16 juli 2020 08:10

Die gasten hadden bijna een WW3 kunnen starten, wees blij dat het alleen dit was.

Uhuruburu @Qu3st • 16 juli 2020 09:27

Daar zeg je wat. Ik neem aan dat het twitter account van Trump zwaarder beveiligd is.

"The missiles are flying. Have a nice day!"

Arjan P @Uhuruburu • 16 juli 2020 09:45

Die hoeft juist geen beveiliging. Ik zei het al elders, als er 1 wereldleider niet serieus wordt genomen op Twitter is het Trump wel..

Atmosfeer @Uhuruburu • 16 juli 2020 10:31

Zijn account is idd zwaarder beveiligd nadat een medewerker van Twitter het probeerde te verwijderen in 2017 geloof ik. Sindsdien kunnen medewerkers ook niet meer bij zijn account.

M3m30 @Uhuruburu • 16 juli 2020 12:04

zover ik weet is er zelfs een speciaal team dat zijn account bij twitter in te gaten houd.

James3 @Uhuruburu • 17 juli 2020 00:46

Zo'n "steenkolen Engels" taalgebruik zou direct opvallen.

twizzle @Uhuruburu • 17 juli 2020 01:36

Alle grootmachten op de wereld weten zelf wel wanneer er iets gelanceerd wordt.

Tijdens de cold war was er een false positive die gelukkig als dusdanig herkend werd door Stanislav Yevgrafovich Petrov maar ik ga ervan uit dat die radar systemen ondertussen behoorlijk verbeterd zijn.

P_Tingen @Menkoro • 16 juli 2020 08:19

Ze hebben ook het account van Elon Musk gehacked. Die heeft wel eens vaker gekke tweets gedaan, dus ze hadden ook iets dramatisch kunnen tweeten onder zijn naam en dan via de aandelen Tesla een slag slaan.

mkools24 @P_Tingen • 16 juli 2020 08:51

Inderdaad short gaan op Tesla en dan Musk die zegt dat hij met pensioen gaat. Als het uitlekt dat het fake is direct verkopen.

wifikabelhuren @mkools24 • 16 juli 2020 09:25

Je bent dan niet echt anoniem bezig.

Bob Popcorn @mkools24 • 16 juli 2020 10:13

Haha en dan sta je overal gesignaleerd voor insider trading, wat in Amerika een federal crime is.

barney123 @Menkoro • 16 juli 2020 09:07

100k toch netjes

laptopleon @barney123 • 16 juli 2020 12:56

Maar wat heeft hij die Twitter-medewerker(s) betaald om mee te werken?

Overigens vind ik dit echt weer zo'n schoolvoorbeeld van hoe hacks – zeker de echt grote – maar zelden meer een puur technische truc is, zoals de naam ooit ontstaan is. Het was 20 jaar geleden al 90% 'social engineering' oftewel babbeltruc.

barney123 @laptopleon • 16 juli 2020 15:35

yep klopt weinig met hacken van doen.
hacken doe je iig nog wat met van die groene letters op een zwarte achtergrond en indringen tot systemen zoals in de films

Tja wat verdiend zo'n medewerker 2k per maand ? Mooie 13de maand erbij zullen een aantal al kwetsbaar voor zijn. En anders gratis via blackmail of dwang.

Zal me niet verbazen dat een medewerker zelf met het plan is gekomen....

[Reactie gewijzigd door barney123 op 22 juli 2024 15:37]

laptopleon @barney123 • 16 juli 2020 19:38

Dat is wel heul weinig. Dit soort grappen komt vrijwel altijd uit en dan sta je waarschijnlijk op straat en kom dan maar weer eens aan de bak, met zo’n reputatie.

k995

Twitter

@Menkoro • 16 juli 2020 10:14

Hoe dan wel? Vergeet niet het gaat niet louter om geld buit te maken maar ook ontraceerbaar te houden.

IJzerlijm @Menkoro • 16 juli 2020 10:50

Het lijkt me eerder een snel in elkaar gezette scam van iemand die uit een massa spam onverwacht toegang krijgt tot een twitter admin account. Twitter beweert dat het een geavanceerde campagne is maar wat er toen gedaan is met de verkregen access is minimaal.

Tenzij ze spelen op een koersdaling, over een paar uur gaat de beurs in NY open en zal het aandeel wel een klap krijgen.

[Reactie gewijzigd door IJzerlijm op 22 juli 2024 15:37]

Mamoulian @Menkoro • 16 juli 2020 11:01

Ze hadden bvb de beurs (of toch aandelen van bepaalde grote bedrijven) kunnen doen crashen (al is men van Elon Musk het een en ander gewoon ondertussen). Chantage van prominente figuren is ook nog een optie (al denk ik dat de meesten wel de wijsheid hebben om geen gevoelige info via Twitter te delen).

Burgertrut @Menkoro • 16 juli 2020 09:55

Short gaan op Tesla en dan hele rare dingen twitteren vanaf Elon’s account.

Martijn033 @Burgertrut • 16 juli 2020 12:03

Dat is echt veel te gemakkelijk te traceren.

R.Mats @Menkoro • 16 juli 2020 08:13

Het lijkt mij dat dit een waarschuwing was. "wij kunnen jullie systemen overnemen wanneer wij willen"

Ze handen bijvoorbeeld ook hetzelfde kunnen doen als in 2013 met 1 account was er al schade geleden, wat denk je dat zou zijn gebeurd met al deze belangrijke account tegelijk?

Ook verdacht dat het gebeurd een dag na Donald Trump executive order mbt Hong Kong

laptopleon @R.Mats • 16 juli 2020 13:00

Het is eerder een waarschuwing dat de zwakste schakel in de beveiliging vaak een medewerker is

en niet per se een zwakke plek in de techhniek.

M3m30 @Menkoro • 16 juli 2020 12:02

vergeet niet dat zij nu ook belangrijke gegevens van rijke peeps in het bezit hebben... hiermee kan je ook geld verdienen. het adres van belangrijke personen, privé berichten, foto's, etc etc etc kan je ook weer flink mee verdienen.

Saffie_time @Menkoro • 16 juli 2020 13:33

Buit maken is leuk maar wat denk je van paniek veroorzaken?
Wat dacht je van een 'tweet' van Trump dat het nu echt oorlog is met land X?
Ik weet niet wat dat voor een kettingreactie dat teweeg zou kunnen gaan brengen.

Auredium 16 juli 2020 08:17

Topje van de ijsberg. De Bitcoin scam zal ongetwijfeld alleen fase 1 zijn. Heel veel privegegevens zijn bloot komen te liggen. Veel belangrijke mensen zullen ondanks beter weten toch gevoelige informatie via Twitter en DM berichten hebben gedeeld. ook zal veel persoonsgegevens bloot zijn komen te liggen. Adressen, e-mail adressen, telefoonnummers.

Denk maar niet dat deze hackers niet wisten wat ze deden. Ze hebben wellicht veel langer toegang gehad en gegevens uit de account gescraped en geback-upped. Het punt is dat wij dat nu nog niet zien. De gegevens worden uiteindelijk verhandeld of gebruikt voor andere aanvallen op de personen zelf. Sommige informatie zoals politieke informatie of technische informatie wordt wellicht verder verhandeld in daarvoor bestaande kringen en mogelijk met landen.

Het is dus afwachten maar dit gaat zeker vergaande gevolgen hebben. Denk iig maar niet dat dit gedaan is puur voor Bitcoin geld. Sterker nog; Ik verwacht dat de Bitcoin scam berichten niets meer dan een afleidingsmanoeuvre zijn voor de echte schade die wat nog gaat komen.

JRvP @Auredium • 16 juli 2020 08:37

wat greyfox ook al zegt, als je feitelijk dus volledig "binnen" bent waarom dan met zo'n knullige actie de kip die gouden eieren legt slachten, dat slaat miz nergens op.
Ik denk toch eerder dat dit het werk is van een paar pubers

Blinkin

@JRvP • 16 juli 2020 08:46

Gezien er social engineering vermoed wordt zou het mij niet verbazen als ze juist willen dat er gedacht wordt dat het werk van pubers is. Wat je daarmee bereikt behalve een poging tot een dwaalspoor is dan even de vraag.
Aan de andere kant onderzoeken instanties alles na een hack, dus dan zou stilhouden idd logischer zijn.

Aetje @Blinkin • 16 juli 2020 10:56

Andere optie... Partij A doet de hack, steelt een bende DM gegevens om mensen mee te gaan chanteren... Wanneer ze klaar zijn (wellicht dagen of weken later) zet partij A de hack open voor anderen. Partij B ziet het en gaat wat lomper te werk en gooit accounts op slot. De hele wereld denkt dat partij B Twitter gehackt heeft en dat de hack maar zeer kort geweest is.

Ondertussen heeft partij A een set aan data die mogelijk nog pikanter is dan de Assange/Snowden leaks, en kan in alle rust gaan bepalen wat die er mee wil doen.

En Twitter zelf? Het bestaan van deze admin tool bewijst dat Twitter gelogen heeft tegen de overheid mbt de mogelijkheden voor shadowbanning. Dat kan dat vogeltje nog wel eens uit de lucht gaan knallen...

Ynst2003 @Aetje • 16 juli 2020 11:39

En Twitter zelf? Het bestaan van deze admin tool bewijst dat Twitter gelogen heeft tegen de overheid mbt de mogelijkheden voor shadowbanning.

heeft Twitter dit ooit ontkent dan? Volgens mij is dat algemeen bekend toch?

pdidi @Aetje • 17 juli 2020 08:15

Over Shadowbanning zijn de Twitter voorwaarden tegenwoordig eerlijk: "We may also remove or refuse to distribute any Content on the Services, limit distribution or visibility of any Content on the service"

barney123 @Blinkin • 16 juli 2020 09:16

Exact dit. Dit heeft meer wat weg van het werk van Rocket Man. Die zal er wel weer achter zitten

Greyfox @Auredium • 16 juli 2020 08:28

Waarom zouden ze dan nu zo’n aandacht op zichzelf vestigen? Als het om de account data zelf gaat zou het juist logisch zijn om dat stil te houden lijkt me.

vanstra @Greyfox • 16 juli 2020 08:52

Het mogelijk creëren van een rookgordijn om de aandacht te verplaatsen.

Carn82 @Auredium • 16 juli 2020 09:06

Veel belangrijke mensen zullen ondanks beter weten toch gevoelige informatie via Twitter en DM berichten hebben gedeeld.

Nou ja, dat is nog even afwachten, volgens mij is het nog niet duidelijk of men ook echt toegang had tot de verschillende accounts; of dat men alleen via de 'beheertool' namens deze accounts tweets kon plaatsen.

k995

Twitter

@Auredium • 16 juli 2020 10:18

Helemaal niet zeker, soms willen mensen gewoon wat snel geld, niet alles is een james bond film .

HarryKiri @Auredium • 16 juli 2020 10:40

Net of er verkiezingen zijn dit jaar #vs #homeland

De mogelijkheden van deze hack zijn echt eindeloos.

SPee @HarryKiri • 16 juli 2020 18:23

Het beïnvloeden van stemmen zou weinig invloed uitoefenen op de stemming zelf. Daarvoor duurde het te kort.
Maar als Trump en Biden een tweet zouden plaatsen dat donaties voor hun campagnes (of ander verkiezingsgerelateerd doel) naar dat Bitcoin adres moet gaan, dan zouden ze zeker veel meer geld hebben gekregen. En dus veel meer gedupeerden.

M3m30 @Auredium • 16 juli 2020 12:06

wat te denken aan webcare diensten bijvoorbeeld... via DM meld jij je adres... dus zij kunnen daar nu OOK bij...

kodak

Hack
Hackers

@Auredium • 16 juli 2020 12:37

Je doet heel veel aannames die van het ergste uit gaan maar levert nauwelijks onderbouwing waarom je gelijk zou hebben. Dat iemand toegang heeft tot iets waardevols wil nog niet zeggen dat die persoon dat zelf goed op waarde kan schatten. Kijk naar hoeveel criminelen met een vuurwapen omgaan alsof het speelgoed is en mensenlevens niets waard zijn. Dat ze het wapen hebben weten te krijgen heeft niet alleen met iets moeilijks heel goed kunnen te maken. Of dat ze dus in andere zaken van criminaliteit ook heel goed zijn.
Kan je maar beter uit gaan dat het nog vervelende gevolgen kan hebben? Zeker. Maar het hoeft niet.

laptopleon @Auredium • 16 juli 2020 13:08

[…]Heel veel privegegevens zijn bloot komen te liggen. Veel belangrijke mensen zullen ondanks beter weten toch gevoelige informatie via Twitter en DM berichten hebben gedeeld.[…] Het is dus afwachten maar dit gaat zeker vergaande gevolgen hebben.

Als iemand met 'gevoelige informatie' aanbiedt die via deze twitterhack zou zijn bemachtigd, hoe weet je dan ooit of het niet zelfverzonnen onzin is?

Alleen de oorspronkelijke betrokkenen weten dat. Misschien kunnen in bepaalde gevallen anderen – die zelf dicht bij het vuur zitten – wel inschatten of het gesprek eventueel realistisch zou kunnen zijn, maar de vraag is of dat veel oplevert. En voor het grote publiek blijft dit vaak koffiedik kijken.

Risce @Auredium • 16 juli 2020 13:46

Alhoewel dat zeker mogelijk is, is niet te bewijzen dat het NIET zo is. Dat maakt dit soort spannende verhalen altijd een beetje lastig. Goed om in je achterhoofd te houden, maar het hoeft helemaal niet zo te zijn.

Tusk 16 juli 2020 09:00

Hack of geen hack. Medewerkers kunnen dus bij DM's van gebruikers...ik vind dat nogal wat.

AW_Bos

@Tusk • 16 juli 2020 09:11

Wie zegt dat ze dat zomaar kunnen?
Mogelijk pas als ze de recovery-mailadres aanpassen en zelf in het account inloggen. Niet een normale gang van zaken.

Maar op Tweakers mogen ze ook in je privéberichten snuffelen als er echte noodzaak voor is.

[Reactie gewijzigd door AW_Bos op 22 juli 2024 15:37]

k995

Twitter

@Tusk • 16 juli 2020 10:20

Neen medewerkers hebben toegang tot een dashboard om je account beveiliging te resetten zodat iemand die kan overnemen.

FreshMaker

Internet

@Tusk • 16 juli 2020 10:12

Hack of geen hack. Medewerkers kunnen dus bij DM's van gebruikers...ik vind dat nogal wat.

Bouw geen huis in iemand zijn achtertuin

Oftewel, zolang je niet zeker bent van de hele keten, moet je rekening houden met 'fuckups' van derden.

broodplank @Tusk • 16 juli 2020 10:29

Admins kunnen bijna altijd overal bij, niks nieuws aan. Reken er maar op dat ze op tweakers ook alles behalve je password kunnen zien.

hackerhater 16 juli 2020 08:18

Layer-8 problem.
Bijna niet te patchen helaas.

Darses

@hackerhater • 16 juli 2020 08:32

Dat is iets te fatalistisch gesteld. In de praktijk zijn er genoeg werkbare oplossingen te verzinnen om de gebruiksvriendelijkheid te verbeteren of de oorzaak van het probleem in de bron te voorkomen.

Neem bijvoorbeeld phishing, ook een vorm van social engineering en mogelijk in dit geval gebruikt. Sinds Google in 2017 security keys verplicht heeft gesteld, heeft het geen last meer gehad van account overnames. Bron (2018). Zo zie je dat iets waarbij vele makkelijk roepen 'meer awareness' of 'layer-8 probleem' toch een prima oplossing voor te vinden is.

Het zou mij niet verbazen dat als het in dit geval om phishing blijkt te gaan, men op korte termijn ook security keys verplicht gaat stellen voor medewerkers.

M3m30 @Darses • 16 juli 2020 12:11

bij het bedrijf waar ik werk werd er eens een nepmail verzonden (door IT team) en omdat hij er gelikt uitzag trapte ik erin. moest direct cursus over phishing opnieuw doen.

efari @Darses • 16 juli 2020 08:55

Als het via social engineering gaat, wat is dan het verschil tussen vragen aan een medewerker: “vul daar eens je wachtwoord in” en “gebruik daar eens je security key”
Ik zie niet in hoe die fysieke key iets kan veranderen aan hoe medewerkers de slechteriken (onbewust, uiteraard) mee helpen in te breken.

Dat is hoe social engineering werkt:
Je hoeft niet de beveiliging te hacken (wachtwoorden, 2FA, keys, tokens,...),
Je hoeft de mensen te hacken die bevoegd zijn om de tools te gebruiken, dan zorgen zij er wel voor dat de beveiliging legitiem omzeild wordt.

Darses

@efari • 16 juli 2020 09:11

Security keys voorkomen inderdaad niet alle vormen van social engineering, maar specifiek alleen (de vrij veel voorkomende) phishing aanvallen. Bij phising gaat het er om dat je iemand vraagt zijn wachtwoord in te vullen op een neppe site, waarna jij dat wachtwoord kunt gebruiken om zelf in te loggen. Zelfs veel gebruikte 2FA methoden zoals SMS codes, (T)OTP codes e.d. zijn vatbaar daar voor. (Ik verwacht zelfs dat dit geldt voor het merendeel van de bank apps wanneer je deze gebruikt om op de website in te loggen.) Security keys voorkomen dit doordat je effectief alleen kan inloggen op de échte login pagina en fysiek het ding in handen moet hebben. 'Gebruik daar eens je security key' gaat dus alleen werken op de echte login pagina, niet op een neppe site en daarmee kan je dus geen phishing aanval meer uitvoeren. Het hele scenario dat iemand vanaf de andere kant van de wereld inlogt op jou account is dus uitgesloten, pas als je fysiek die security key in handen hebt kom je er in. Het is dus ook nagenoeg onmogelijk om onbedoeld toegang te geven aan een ander.

Als je een Twitter medewerker vraagt om zelf in te loggen en bijvoorbeeld de reset mailadressen van een account aan te passen, is dat ook social engineering. Dat kan ook in dit geval het geval geweest zijn, dan kan je mijn verhaal over phishing inderdaad naast je neer leggen. Hetzelfde gaat overigens ook op voor het installeren van bijvoorbeeld malware door een medewerker.

Meer info is overigens ook te lezen in het recente achtergrond artikel Beveiligingssleutels onder de loep.

[Reactie gewijzigd door Darses op 22 juli 2024 15:37]

efari @Darses • 16 juli 2020 09:15

dit zei Twitter:

We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.

dus waarom jij telkens het generieke "phishing" erbij haalt weet ik niet.
wat we wel weten is dat het een gecoordineerde social engineering aanval was. En die kunnnen behoorlijk complex en impressionant zijn, dus niet meer dan logisch voor het slachtoffer dat hij zou denken dat het allemaal ter goeder trouw was.

Darses

@efari • 16 juli 2020 09:19

Phishing is ook een vorm van social engineering. Sterker nog het is de meest eenvoudige en voor de hand liggende aanval als je toegang wilt tot iemand zijn account. Of hier gebruik van is gemaakt moet nog blijken, maar het is een vrij logische gedachte.

laptopleon @Darses • 16 juli 2020 13:43

Security keys voorkomen dit doordat je effectief alleen kan inloggen op de échte login pagina en fysiek het ding in handen moet hebben. 'Gebruik daar eens je security key' gaat dus alleen werken op de echte login pagina, niet op een neppe site en daarmee kan je dus geen phishing aanval meer uitvoeren. Het hele scenario dat iemand vanaf de andere kant van de wereld inlogt op jou account is dus uitgesloten, pas als je fysiek die security key in handen hebt kom je er in. Het is dus ook nagenoeg onmogelijk om onbedoeld toegang te geven aan een ander.

Als je doorklikt naar een nep-site die 1:1 een kopie van je bank-omgeving laat zien, dan kan die toch gewoon de data ('security vraag') doorsturen die de echte bank stuurt en je 'token-antwoord' weer terugsturen naar de bank? Ze gaan er dan gewoon tussen zitten.

Darses

@laptopleon • 16 juli 2020 17:18

Een 'account' op een security key is gebonden aan een website origin (bijv. 'https://bank.example.nl:443'). Die origin is anders als je een nep-site draait. Door de origin mee te nemen bij het inloggen ('token-antwoord') zal de echte website altijd weten wanneer je op een nep-site zit (immers komt die origin niet overeen). Ook komt er een handtekening op het bericht waardoor de nep-site niet in staat is om deze aan te passen.

Overigens zijn er ook andere manieren om phishing te voorkomen, door bijvoorbeeld TLS Client Certificates te gebruiken. De WebAuthn standaard achter security keys is ontwikkelt om die omslachtige en ongebruiksvriendelijke inlogmethode overbodig te maken, maar 'phishing-vrije' inlogmethoden zijn dus niet nieuw.

[Reactie gewijzigd door Darses op 22 juli 2024 15:37]

SPee @laptopleon • 16 juli 2020 18:14

Ja, dat is de bekende MITM-attack.

Maar hoe ga je dat doen als het een intern systeem is, waarvan je niet weet hoe dat eruit ziet en hoe dat werkt? Dat zie je meteen.
Of beter, als het alleen via het interne netwerk bereikbaar is en niet via het internet. Dan kun je niet eens de aanvraag doorsturen, omdat je het systeem niet kan bereiken.

Dan kun je enkel hacken d.m.v. het syteem overnemen dat die verbinding heeft gemaakt. En dan heb je wél wat aan een fysieke token. Want dan krijgt de hacker het loginscherm, maar heeft die token niet om verder te gaan. Of ziet de medewerker allemaal schermen die iets doen zonder dat hij iets doet. Daar zouden ook de alarmbellen van moeten afgaan.

FreshMaker

Internet

@efari • 16 juli 2020 10:04

Door implementeren van verantwoordelijkheid op acties, krijg je sowieso al meer inzicht.
Als jouw account echt verantwoording draagt over jouw acties, zal je er meer bovenop zitten.

Ik kom uit de horeca, waar we destijds met 'eigen geld' liepen.
Elke kassa actie moest worden verantwoord, dus teruggeven van wisselgeld idem.
Gaf je meer geld terug dan de bedoeling, ging dat uiteindelijk van je eigen geld af.
Dan wordt je vanzelf nauwkeuriger op het sluiten van je kassa-toegang, en je portemonnee / inkomsten.
Er waren maar weinig kasverschillen, had je aan het einde van de dag geen/weinig fooi, was je niet nauwkeurig genoeg

Mijn take van dit geheel, is dat men doodleuk wel de taken op zich neemt, maar niet de verantwoordelijkheden.

Slavy 16 juli 2020 08:10

Wat overigens wel op TechCrunch (https://techcrunch.com/2020/07/15/twitter-hacker-admin-scam/) staat maar niet op Motherboard is het volgende:

A person involved in the underground hacking scene told TechCrunch that a hacker, who goes by the handle “Kirk” — likely not their real name — generated over $100,000 in the matter of hours by gaining access to an internal Twitter tool, which they used to take control of popular Twitter accounts.

[Reactie gewijzigd door Slavy op 22 juli 2024 15:37]

phoenix2149 @Slavy • 16 juli 2020 08:16

Zorgwekkend dat Twitter dus een tool heeft om je account over te nemen.

n9iels

@phoenix2149 • 16 juli 2020 08:30

Nah ja, tools voor resetten van gebruikers hun wachtwoord en mail adres zijn ook bruikbaar voor deze doeleinden. Uiteraard zijn ze er niet voor gemaakt.

Zorgwekkend is wel dat een individuele medewerker deze acties kan uitvoeren op prominente accounts zonder verificatie van een tweede medewerker.

Robby517 @n9iels • 16 juli 2020 09:19

Ik wil wel eens elke tech-support dienst een 2-person verification zien implementeren voor elke ondernomen actie, dat is niet werkbaar. Bijna elk backoffice systeem heeft de mogelijkheid om dit soort acties te ondernemen. User impersonation, mail resetten, ... is gewoon standaard tech support werk. Dit is uiteindelijk hetzelfde risico als je sysadmin die een netwerkkabel kan uittrekken, uiteindelijk is er altijd een moment waarop 1 persoon heel wat kan saboteren.

Wat ik zorgwekkender vind is de reactiesnelheid van Twitter. Dit moet toch meteen opvallen en hier kun je toch gewoon binnen het kwartier op reageren. Je hebt hopelijk wel een audit trail waarbij je weet welke admin het emailadres van Binance veranderde en je moet dit soort rogue admins toch heel gemakkelijk kunnen afsluiten en de schade ongedaan maken.

[Reactie gewijzigd door Robby517 op 22 juli 2024 15:37]

batjes @Robby517 • 16 juli 2020 11:27

Bij ons zit bij wachtwoord resets voor de werkplek accounts altijd een check van 2 personen als de IT een wachtwoord moet resetten. Leidinggevende van de gebruiker en FO/BO.

Tja is soms vervelend, maar het is een heel stuk veiliger dan op verificatie van alleen de gebruiker af gaan.

pim @phoenix2149 • 16 juli 2020 08:26

Zorgwekkend dat Twitter toegang heeft tot zijn eigen database??

Verwijderd @pim • 16 juli 2020 08:30

Neen, maar je geeft een medewerker niet zomaar de mogelijkheid om een productie-database aan te passen.

In een echt professionele omgeving moet je hiervoor toestemming vragen + de reden motiveren, en krijg je na goedkeuring tijdelijke credentials die slechts enkele uren geldig zijn.

Dat was hier wss. niet het geval, aangezien de medewerker zonder problemen meerdere accounts kon aanpassen.

borft @Verwijderd • 16 juli 2020 08:40

En van wie krijg je dan die credentials en hoe werkt dat systeem? En wat als een hacker toegang heeft tot dat systeem?

Verwijderd @borft • 16 juli 2020 09:13

Kijk eens naar producten zoals HashiCorp Vault, of CyberArk want die zijn exact voor zo'n zaken bedoeld. En zulke systemen zijn meestal zo te configureren dat er een duidelijk onderscheid is tussen personen die wel tijdelijke credentials kunnen aanmaken (zonder data te raadplegen), en de persoon die effectief toegang heeft tot de data.

Als ik zo lees denken de meesten blijkbaar dat we nog steeds in de tijd leven dat iemand een admin-account heeft waarmee alles mogelijk is, maar dat is echt niet het geval (althans, het zou niet mogen). Dit is echt al grotendeels een opgelost probleem, maar het wordt duidelijk nog te weinig gebruikt door de meeste bedrijven.

Edit: Om hier even op verder te gaan, bij een klant van mij hebben we zo'n oplossing via HashiCorp Vault gebouwd. Hier is was een stricte scheiding tussen de verschillende persona's: een admin-role die nieuwe keystores kon aanmaken zonder de mogelijkheid om de data te raadplegen, een reader-rol om de data te raadplegen,een approver-rol om tijdelijke credentials aan te maken met read/write access, zonder zelf toegang te hebben tot de data, en een audit-rol die toegang had om de audit-history van de keystore te zien (zonder de data zelf te zien). Dus ja, dat is allemaal perfect te scheiden van mekaar. Integreer dat met een centrale id-provider (KeyCloak, MS-AD, etc...) gecombineer met limited-lifetime tokens, en je hebt een enorm krachtig systeem.

Voor de mensen die hier interesse in hebben, kijk eens naar de OSS versie van HashiCorp Vault. Op hun learning site (https://learn.hashicorp.com/vault) vind je al veel informatie terug voor een setup met meerdere persona's.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:37]

Qwerty-273 @Verwijderd • 16 juli 2020 09:26

Het wordt te weinig gebruikt, maar dat komt ook deels door dat de meeste bedrijven een enorme zooi legacy zut hebben staan, die niet 1-2-3 met zulke tools overweg kunnen. En je dus een integratie tussen en de gekozen oplossing moet opzetten, dat kost tijd en geld waar de meeste bedrijven het nut er niet van inzien - "want we hebben al een goed audit process op de uitgegeven permissies". Juist het tijdelijk toegang geven onder hogere permissies is bij uitstek ideaal van deze tools, dat is het grotere voordeel ten opzichte van een standaard wachtwoord manager met service accounts met de juiste permissies.

Verwijderd @Qwerty-273 • 16 juli 2020 09:54

Correct, maar ik neem aan dat voor Twitter de redenering van legacy-stuff niet opgaat, aangezien ze hun admin-panels wel zelf ontwikkeld zullen hebben.

En voor legacy stuff, zijn er oplossingen: Stel dat je een applicatie hebt die nog db-credentials in zijn config heeft staan (veel voorkomend scenario), kan je gebruik maken van HashiCorp Vault voor tijdelijke credentials en vault-template om de config file van de app automatisch te updaten en te herstarten (buiten business hours via cron-job of zo). Het is nog niet zo veilig als een volledig dynamisch systeem (waar je credentials elk uur kont roteren bv), maar toch al een hele verbetering.

En voor tijdelijke credentials voor admins tot databases, dit kan perfect ook voor legacy databases. Het enige wat Vault dan doet is een user aanmaken in je database (ongeacht of dit db2/post/gres/mysql/ms-sql is), en die nadien zelf opkuisen. Is geen aanpassing aan de database zelf voor nodig.

Blokker_1999

Hackers
Hack
Internet
Twitter

@borft • 16 juli 2020 08:54

Die credentials steken in een softwarematige kluis waar je via 2FA toegang tot kunt krijgen. Indien goedkeuring noodzakelijk is zal je daar je aanvraag doen en eenmaak je de credentials mag hebben ga je terug in de kluis en krijg je het wachtwoord even te zien. Bedoeling is ook dat als je de taak gedaan hebt waarvoor je die creds nodig had, je dit opnieuw aangeeft in de kluis zodat het systeem onmiddelijk het wachtwoord kan aanpassen. Doe je dat niet dan zal na een vooraf ingestelde tijd het wachtwoord alsnog aangepast worden.

Indien goedkeuring vereist is heb je als hacker al toegang nodig tot 2 accounts. Je eigen aanvraag kan je niet goedkeuren namelijk. Dat werpt alweer een extra barriere op.

GrooV @Verwijderd • 16 juli 2020 08:45

Neem aan dat dit niet Pietje van de schoonmaak was van Twitter HQ maar dat dit mensen zijn die juist functioneel beheer doen binnen Twitter. Dan heb je inderdaad toegang nodig om accounts te beheren. Daarna zijn de accounts gereset en konden de hackers zelf alle gegevens in zien

Verwijderd @GrooV • 16 juli 2020 09:16

Ik heb het ook niet over Pietje van de schoonmaak. Misschien lezen wat ik schrijf: ik zeg niet dat het niet nodig om accounts te beheren, maar dat het blijkbaar mogelijk was voor die account om zomaar elke gebruiker over te nemen zonder motivatie of goedkeuring door iemand anders. Lees mijn opmerking hieronder, want hier hebben we echt al oplossingen voor tegenwoordig.

wifikabelhuren @Verwijderd • 16 juli 2020 09:27

Totdat hoofd database engineer gehackt

Verwijderd @wifikabelhuren • 16 juli 2020 09:48

*zucht* lees mijn opmerkingen hieronder. Kan je altijd perfect afschermen. Zelfs de db-admin hoeft geen r/w access te hebben tot de productie data.

Je kan perfect een account hebben die toegang heeft tot de systeem-tabellen en -databases(en zelfs lees-toegang tot productie-data, als je dat echt wil) en nog steeds een systeem van tijdelijke credentials + goedkeuring voor write-access.

Gaan we hier nu echt koppig over blijven doen, of gewoon aanvaarden dat er al systemen zijn om dit allemaal perfect af te schermen? Doe wat research, het is echt al een probleem dat grotendeels is opgelost. Je moet het gewoon willen implementeren.

k995

Twitter

@Verwijderd • 16 juli 2020 10:15

En besef dan dat zowat geen enkel bedrijf zo werkt want teveel rompslomp.

Verwijderd @k995 • 16 juli 2020 10:53

Raar, want ik heb bij bedrijven gewerkt waar het effectief zo is. Volgens jou hebben bedrijven als HashiCorp en CyberArk geen klanten want gebruikt geen enkel bedrijf zoiets? Ik herhaal: doe wat research ;-)

Veel van de zaken zijn via scripting geautomatiseerd, zodat de rompslomp beperkt blijft. 's morgens 1 scriptje uitvoeren waarmee je tijdelijke credentials gezet werden die je heel de dag kon gebruiken (lifetime van 10u). Voor dagelijks gebruik was dat al voldoende.

Kijk zo kan je argumenten blijven verzinnen. Mits een beetje moeite en scripting kan je administratieve overlast beperken tot enkele minuten per dag (sprekende uit ervaring).

Vraag je misschien beter af wat de rompslomp is als je gehacked wordt, je klantgegevens op straat liggen, je in het nieuws komt, je hele infrastructuur wordt ge-audit door een of andere commissie enz.. Maar je hebt ergens gelijk: alles is een afweging van pro's en contra's. Maar die keuze wordt meestal niet door techies gemaakt, maar door managers. Het enige wat ik kan doen, is het proberen zo veilig mogelijk te maken en de overlast te beperken.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:37]

k995

Twitter

@Verwijderd • 16 juli 2020 11:02

Natuurlijk zullen sommige bedrijven zo werken ik heb nooit gezegd dat geen enkele zo werkt echter van de 20tal bedrijven (100 tot 250 000 medewerkers) waar ik en mijn vrouw (beide IT'ers) voor gewerkt hebben is er geen enkele die zo werkt.

Anekdotisch natuurlijk maar het toont aan dat gemak/low cost in de meeste primeert dan effectieve goede beveiliging.

Verwijderd @k995 • 16 juli 2020 11:12

Ok, maar van een bedrijf als Twitter waar zelfs staatshoofden op actief zijn, zou je toch mogen verwachten dat niet elke medewerker zomaar impersonation-rechten heeft zonder enige vorm van controle, en zo'n systeem geimplementeerd heeft.

k995

Twitter

@Verwijderd • 16 juli 2020 11:20

Mijn vrouw werkt bijna exclusief met banken dus neen.
Grappig trouwens dat de enige echt oplichting die we meegemaakt hebben via social engineering /oplichten van de boekhouding ging.

https://www.nieuwsblad.be/cnt/dmf20160119_02078829

[Reactie gewijzigd door k995 op 22 juli 2024 15:37]

Aetje @Verwijderd • 16 juli 2020 10:47

Maar degene die de "tijdelijke" toegang verstrekt zal wel de permanente authorisatie nodig hebben om die toegang te kunnen verstrekken. Tenzij je dat over meerdere personen verdeelt - maar dan wordt het log omdat het proces stil valt zodra een van de vereiste personen de acties niet uitvoert - wat betekent dat je niet vlot kan reageren wanneer nodig (zoals bijvoorbeeld bij hacks). Voor een bedrijf als Twitter is dat onacceptabel.

De vereiste om snel in te kunnen grijpen betekent dat je een SPOF gaat hebben in de authorisatieketen. Wel knullig inderdaad dat het al zo laag in de keten zit...

Verwijderd @Aetje • 16 juli 2020 11:02

Heb je schrijf-toegang nodig om de schade te bepalen? Ik denk het niet, meestal is de audit-trail en/of lees-toegang voldoende.Dus neen, daar gaat de logica niet op.

En deze hack had gewoon al niet voorgevallen als zo'n systeem werd gebruikt.

Aetje @Verwijderd • 16 juli 2020 11:21

Je hebt schrijftoegang nodig om zaken te modereren/verbannen. En gezien hoe banhappy Twitter is vanwege de verkiezingen daar in de VS... ga je als je dergelijke moderatie op dergelijke schaal wil toepassen, zeker deels schrijfrechten op de database aan de low level moderators toe moeten kennen. Als zo'n systeem zoals jij voorstelt wordt gebruikt kan Twitter zijn content niet meer snel modereren.
Voor de meeste bedrijven maakt het niet uit of er een paar minuten/uren vertraging tussen het verzoek en authorisatie zit, en zullen de hoeveelheid verzoeken miniem zijn. Voor een social media platform is dat niet zo.

Nederviking @Verwijderd • 16 juli 2020 11:33

Je kan er allerlei stroperige processen omheen vouwen, en voor alles een plek en een plaats natuurlijk, maar het lijkt me redelijk onoverkomelijk dat er uiteindelijk ergens minimaal 1 bobo is, vermoedelijk meer want je wil immers niet van 1 persoon afhangen, die gewoon bij die data kan.

Bovendien heb je het hier over Twitter. Niet de Nederlandse Bank ofzo. En dat ze kennelijk oorlogen kunnen starten is geen security probleem maar een maatschappelijk probleem.
Ik vind het niets minder dan schokkend, de waarde die er aan de hersenscheten gebonden wordt op dat platform.

[Reactie gewijzigd door Nederviking op 22 juli 2024 15:37]

GewoonWatSpulle @phoenix2149 • 16 juli 2020 08:26

Ze zijn de maker en eigenaar van het platform, wat had je anders verwacht?

Elorad @phoenix2149 • 16 juli 2020 08:47

Dat staat er niet, ze hebben toegang gekregen tot een tool, welke gebruikt kan worden voor account overnames. Bijvoorbeeld door direct een email adres te wijzigen.
Tweakers heeft ook wel ergens de mogelijkheid om het email adres, gekoppeld aan mijn account, te veranderen zonder dat ik daarvan weet. Zo vreemd is dit toch niet?

Henk Poley @duk3n • 16 juli 2020 08:56

Hmm? Ze hebben overal hetzelfde bitcoin adres geplaatst. Van bitcoin adressen kan je opzoeken hoeveel er in zit.

Kijk zelf maar: https://www.blockchain.co...zq2n0yrf2493p83kkfjhx0wlh

[Reactie gewijzigd door Henk Poley op 22 juli 2024 15:37]

barney123 @Henk Poley • 16 juli 2020 09:14

ook nog n andere

bc1qwr30ddc04zqp878c0evdrqfx564mmf0dy2w39l

maar die heeft maar 5k ontvangen

deze stond bij de tweet van kim kardashian west blijkbaar ook domme volgers maar zullen wat minder in de bitcoin zitten

ThomasAVN 16 juli 2020 10:07

Kan iemand iets aan mij uitleggen over Bitcoin en privacy?

Ik hoor altijd dat Bitcoin zo handig is voor crimineel geld, omdat het anoniem is. Maar er komt toch een moment dat iemand zijn Bitcoins wil verzilveren en dat via zijn geverifieerde account op een Exchange moet doen?
Waarom is de eigenaar van deze Bitcoin-code niet op die manier te achterhalen?

Liberteh @ThomasAVN • 16 juli 2020 10:51

Niet iedere exchange vereist identiteits-verificatie. Dat is uiteindelijk ook het uitgangspunt van decentralisatie. Niemand die het je op kan leggen (in de directe zin).

ThomasAVN @Liberteh • 17 juli 2020 00:17

Maar op een gegeven moment wordt dat bedrag toch uitgekeerd? Tenzij je het omzet in goederen of andere cryptocurrency, wat respectievelijk Risce en Barney123 hieronder noemen.

Liberteh @ThomasAVN • 17 juli 2020 10:44

Precies, dat wordt op een gegeven moment gedaan. En al is het niet meer zo makkelijk te regelen... als jij wil kan je met iemand die je kent afspreken dat jij bitcoins overmaakt in ruil voor contant geld.

ThomasAVN @Liberteh • 23 juli 2020 09:31

Ah, natuurlijk. Daar had ik niet aan gedacht.

Risce @ThomasAVN • 16 juli 2020 13:49

Het is mogelijk om bitcoins te 'mixen' met bitcoins uit andere middelen. Dit soort accounts worden natuurlijk permanent gemonitord, maar het idee is om het geld eruit te sneaken. Daarnaast hoef je natuurlijk het geld niet 'op te nemen'. Het is ook mogelijk om het uit te geven aan een product. Aangezien een bitcoin adres niet persoonlijk is, staat een deel van het buitgemaakte geld dan weer op de account van iemand anders en ergens wordt dan een lamborghini geregeld.

yzaazy @ThomasAVN • 16 juli 2020 15:00

Omdat men hier altijd geldezels voor gebruikt.

barney123 @ThomasAVN • 16 juli 2020 15:59

Nu is het zo dat ze bitcoin ontvangen
Het is slechts een kwestie van deze btc om te wisselen voor monero bijvoorbeeld dan ben je volledig anoniem

n9iels

16 juli 2020 08:16

Ik denk dat Twitter dat vinkjes systeem eens wat moet gaan herzien... Bij een account met zoveel invloed zou je stappen moeten hebben waarbij moderatie acties door meerdere medewerkers goedgekeurd moet worden. Ben heel benieuwd naar de post mortum hiervan

[Reactie gewijzigd door n9iels op 22 juli 2024 15:37]

Tintel

Twitter

@n9iels • 16 juli 2020 08:31

Misschien is het ook niet slim zoveel invoed aan Twitter toe te kennen? Het is niets meer dan korte uitroepen. Vaak bedoeld om te choqueren of manipuleren.
En 'belangrijke' mensen die hierop gegevens zetten die belangrijk zijn? Domme mensen... of mensen met een hidden agenda.

n9iels

@Tintel • 16 juli 2020 08:42

Probleem is dat de mensen die Twitter gebruiken de waarde bepalen van het platform. Zonder die vinkjes krijg je het probleem dat mensen copy-cat accounts gaan aanmaken die vreemde dingen Tweeten. Eens dat mensen in de basis wel mogen denken voor ze op retweet klikken.

Echter ging het nu om politieke accounts. Stel dat je hiermee journalisten had getarget (die ook verified zijn vaak). Met toegang tot DM van een journalist kun je eventueel bronnen onthullen. Of activisten lokken maar andere "veilige" platformen.

Verwijderd @n9iels • 16 juli 2020 08:58

Als ik die gasten was geweest, zou ik eerst eens zorgen dat er wat accounts in eigen beheer van die vinkjes kregen. En daarna pas rotzooi schoppen met 'big name' accounts om daar de aandacht van af te leiden.

Kun je die accounts later gebruiken om bepaalde sturende berichten te plaatsen.

kodak

Hack
Hackers

@n9iels • 16 juli 2020 12:48

En wie denk je hiermee een plezier te doen? De volgers die alles wat op de accounts staat te makkelijk geloven? De accounts die meer afhankelijk worden van wat Twitter doet? Twitter die meer moet investeren in controle over accounts van anderen?

n9iels

@kodak • 16 juli 2020 13:24

Het vinkjes systeem is ontstaan om te voorkomen dat ik een account kan aanmaken met een vergelijkbare username en profielfoto van een prominent persoon. Ik zeg zeker niet dat een vinkje betekenen dat je alles moet geloven. Maar een persoon met veel volgers heeft veel invloed, daar is weinig aan te veranderen.

Waar ik op doel is dat Twitter ook intern moet kijken naar bescherming. Waarom kan een enkele Twitter medeweker bijv. 2FA uitzetten op een prominent account.

vennis 16 juli 2020 09:30

Waarom zou een twitterbeheerder een twitter bericht moeten kunnen aanpassen of posten op iemand anders zijn account? Waarom zit die functionaliteit er überhaupt in.

ThomasAVN @vennis • 16 juli 2020 10:10

Het lijkt me niet dat dat een bestaande functionaliteit is. Het lijkt erop dat kwaadwillenden via Twitter-medewerkers de inloggegevens van accounts hebben buitgemaakt, het e-mailadres hebben gewijzigd naar dat van de kwaadwillenden en een password-reset hebben aangevraagd. Vervolgens hebben ze toegang tot "hun" account.

Verwijderd 16 juli 2020 08:45

Ik vind het vrij schokkend dat er blijkbaar grote edits op accounts worden toegestaan vanuit admin account zonder secundaire controle.
Waar mag dat tegenwoordig nog "zomaar".
\
Je mag verwachten dat bij grote bedrijven die een publiek doel dienen (of dit Twitter dit nou is kan je over discussieren) er een goede controle systeem in werking is.
een toegangs controle systeem en/of een administratieve controle systeem.

Als hackers nog toegang hebben vind ik het ook vrij schokkend dat ze niet alles offline gooien, blijkbaar kunnen ze zo goed als alles (inzien).

kodak

Hack
Hackers

@Verwijderd • 16 juli 2020 12:55

Vind je het nu pas schokkend of ook toen je de keuze had om Twitter te gaan gebruiken zonder dat je wist hoe het werkte? Jij mag natuurlijk iets verwachten, maar wat doe je er zelf aan om te controleren of je verwachtingen kloppen en zolang het niet klopt? Wat heeft iets nu schokkend vinden voor zin als je eigenlijk nog niet eens weet wat er precies aan de hand is en hoe het bij twitter werkt of als je jezelf toch niet anders gaat gedragen als je niet weet hoe iets werkt of nu je denkt te weten hoe het werkt?

Verwijderd @kodak • 16 juli 2020 13:34

ik gebruik geen social media

kodak

Hack
Hackers

@Verwijderd • 16 juli 2020 13:50

Maar geeft dan eens antwoord wat het schokkend vinden dan uit maakt? Iets achteraf schokkend vinden is een makkelijke reactie over een ander zoals Twitter.

n9iels

@Verwijderd • 16 juli 2020 13:30

Ik denk niet dat Tweets vanuit een admin account zijn verstuurd. Een admin moet immers ook iemand die zijn telefoon met 2FA kwijt is kunnen helpen. Zelfde geld iemand die geen toegang meer heeft tot zijn oude mail adres.

Wonderbaarlijk is wel dat accounts met zo'n mooi vinkje intern blijkbaar geen extra bescherming hebben. Het niet te doen om alles door twee medewerkers te laten checken, maar voor prominente accounts klinkt het wel logisch.

Motrax 16 juli 2020 08:56

Heeft iemand enig idee waarom Twitter de afbeeldingen van het admin bord verwijdert? Op basis van wat? Twitter was toch zo open en beinvloed de trendinglijsten toch niet? Oh wacht... wat voor knop is dat eigenlijk op het screenshot? Kunnen er onderwerpen op een blacklist komen... hmmm

Op dit item kan niet meer gereageerd worden.

Twitter: hackers kregen toegang tot interne systemen via social engineering

Lees meer

IT-banen

Reacties (185)

Sorteer op:

Weergave: