Bloomberg: Twitter-werknemers misbruikten systeem om locatie van Beyoncé te zien

Ingehuurde krachten die via een bedrijf voor Twitter werkten, misbruikten in 2017 en 2018 de klantendienstsystemen om de locatie van beroemdheden, waaronder Beyoncé, te kunnen volgen. Twitter zou de waarschuwingen van medewerkers hiervoor hebben genegeerd.

Bloomberg sprak met vier ex-medewerkers en ruim zes ingewijden. Zij vertelden over de toezichtproblemen die Twitter zou hebben met de medewerkers die toegang hebben tot gebruikersaccounts. Volgens het nieuwsmedium zijn er 1500 werknemers die voor Twitter werken, gebruikersaccounts kunnen resetten, kunnen zien wie onrechtmatig toegang heeft gekregen tot een account en kunnen reageren op content die wellicht de gebruiksvoorwaarden schendt.

Volgens de Bloomberg-bronnen zijn de medewerkers relatief beperkt in welke persoonlijke data ze kunnen bekijken, al hebben ze wel toegang tot ip-adressen, e-mailadressen en telefoonnummers. Deze data kan volgens de medewerkers fungeren als startpunt voor wie een account wil volgen of hacken.

Het toezichtprobleem is volgens twee ex-medewerkers zo groot dat ingehuurde krachten er in 2017 en 2018 'een spel van maakten' om neppe helpdeskvragen te bedenken. Hiermee konden ze doen alsof ze een reden hadden om in het account van beroemdheden rond te struinen. Alleen Beyoncé wordt specifiek als doelwit genoemd. Met deze neppe helpdeskvragen wisten de ingehuurde krachten volgens de ex-werknemers persoonlijke data te achterhalen. Onder deze data viel het ip-adres van de beroemdheden, waarmee de geschatte locatie te zien kan zijn.

De statements van de Bloomberg-bronnen komen nadat bijna twee weken geleden diverse grote Twitter-accounts kortstondig werden overgenomen en waarmee cryptoscamberichten werden geplaatst. Later bevestigde Twitter dat de hackers toegang wisten te krijgen via de interne systemen en tools van zijn medewerkers.

Volgens de Bloomberg-bronnen is de top van Twitter, inclusief ceo Jack Dorsey, sinds 2015 meermaals ingelicht over de toezichtproblemen. Het Twitter-management wil volgens de bronnen liever consumentenproducten en -functies verbeteren om zo meer te kunnen omzetten in plaats van de toezichtmogelijkheden te verbeteren. Ingehuurde krachten zouden ondanks de huidige toezichtsystemen alsnog details over 'voormalige partners, politici, favoriete merken en beroemdheden' kunnen volgen, claimen de ex-medewerkers.

In een reactie zegt Twitter zich niet te kunnen vinden in de toezichtclaims van de Bloomberg-bronnen. Twitter zou continu werken aan het verbeteren van de beveiligingstools om mogelijke problemen altijd voor te kunnen zijn. Zo zouden alle Twitter-medewerkers in de afgelopen week een online beveiligingstraining hebben gevolgd, die onder meer over phishingaanvallen ging.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Redacteur

28-07-2020 • 10:46

68 Linkedin

Reacties (68)

Wijzig sortering
De titel is wat misleidend, de werknemers kregen "de locatie van Beyoncé te zien", maar het blijkt enkel het ip-adres te zijn. Nogal een groot verschil. Het is niet dat je haar stappen kon volgen. Ip-adrestracking is nogal ruw.
En al helemaal met mobiele telefonie, je krijgt overal ter wereld een IP adres uit de range van je eigen provider.
je krijgt overal ter wereld een IP adres uit de range van je eigen provider.
dat... klopt denk ik toch niet hoor. Dat zou globale routering ongelofelijk complex maken.
Roaming wordt getunneled over het gastnetwerk. Kijk het maar eens na als je op vakantie bent, je 4G telefoon heeft gewoon een Nederlands IP adres (tenzij je op een lokale wifi zit natuurlijk).

[Reactie gewijzigd door Dreamvoid op 28 juli 2020 12:22]

Je hebt gelijk, zit in Frankrijk, maar heb IP adres van Tele2 uit Zweden. :P
Roaming gaat via je land waar je vandaan komt, ik zit momenteel in frankrijk, en ik heb 89.205.139.x gekregen, dit komt uit een subnet dat volgens vele diensten gewoon in nederland draait, hierdoor blijven (tenzij je via bijvoorbeeld je browser je locatie deelt met sites) je bezoekjes aan het internet vaak gewoon in het nederlands.
Het is mogelijk dat als je een provider hebt die in meerdere landen opereert dat je niet meer echt roamt, maar gewoon met het netwerk van dezelfde partij in het land waar je bent verbind :)

Ook even een traceroute om de theorie (dus niet) te bevestigen:
Hop #1 is mijn iPhone waarmee ik verbonden ben, de eerst volgende zichtbare hop ben ik op het netwerk van t-mobile in duitsland beland 8)7 8)7 8)7


mensen die nog niet zijn overgeleverd aan een provider die deze afpersing van hosting partijen/content boeren toepassen kunnen dit wel controlleren met een traceroute, omdat verkeer veelal over ams-ix/nl-ix zal lopen :)

1 2 ms 1 ms 2 ms 172.20.10.1
2 * * * Request timed out.
3 * * * Request timed out.
4 * * * Request timed out.
5 * * * Request timed out.
6 101 ms 83 ms 66 ms 84.241.225.42
7 274 ms 85 ms 69 ms 80.157.130.241
8 * * * Request timed out.
9 87 ms 83 ms 84 ms ae-1-3104.edge7.Amsterdam1.Level3.net [4.69.162.177]

[Reactie gewijzigd door Ayyylias op 29 juli 2020 00:36]

Ik ben het grotendeels met je eens. IP geolocatie is in 99% van de gevallen voor particulieren totale onzin. Slaat helemaal nergens op. “Geschatte locatie” is in Nederland vaak bijvoorbeeld “bevindt zich ergens in Nederland” en daar houdt ‘t wel op qua betrouwbaarheid. :+

Maarrrr... Sommige providers in de VS delen dynamische IP-addressen uit die de staat of stad (enkel in grote steden) in de PTR heeft staan. Dan weet je nog steeds niet meer dan “Beyonce was in Texas” of “Beyonce was in Houston”; als Beyonce a) geen vpn/proxy gebruikt, b) het beyonce zelf is die twittert en niet haar PR/marketing manager. ;) Maar eerlijk is eerlijk: dat blijft wel een enorme inbreuk op de privacy.

Toch ben ik het er ondanks dit wél mee eens dat de titel misleidend is en het nogal een stretch is, mede omdat we niet weten of bovenstaand verhaal überhaupt van toepassing was op Beyonce...
Dat niet alleen maar meestal maken providers nog gebruik van NAT ook, niet iedere telefoon krijgt een public IP want dan waren de IP's allang op.

Ik vind het ook ver gezocht.
Dat lijkt me sterk, een extern IP adres met een interne range dus 10.0.0/8, 172.16.0.0/12 of 192.168.0.0/16. Het lijkt me dat IPv6 gebruikt wordt als er geen IPv4 adressen meer zijn.
Ik heb de data niet gezien en ik ben niet genoeg van fan Beyoncé om de intieme details te weten, maar op grond van dat IP-adres zul je toch snel een redelijk idee opdoen waar haar huis staat (als dat nog niet op Wikipedia staat). Als je dat eenmaal weet kun je vervolgens eenvoudig controleren of ze thuis is. Dat is een slecht moment als je wil inbreken maar een goed moment voor een ontvoering, om maar direct naar een worst-case scenario te springen.

Ik denk dat Beyoncé aardig veel over de wereld reist, en zelfs met grove IP-tracking kun je toch wel zien in welk land iemand is, en al snel meer.
Hem vertellen dat hij zou moeten abonneren op een dienst waar hij niet tevreden mee is is wel een raar advies.

[Reactie gewijzigd door unilythe op 28 juli 2020 11:19]

Betalen is net zo hoed een bevestiging dat het al goed is. Ik ben er juist mee gestopt!
Same here. Content ging achteruit, het modsysteem is nog verder verziekt en hoe de community gerund werd stond me niet aan - zeker niet na wat oneerlijke onaangekondigde wijzigingen in het aboboard; that never sat well with me, ondanks dat ik er zelf weinig last van had. Jammer, want abodag was altijd wel erg leuk! :)
Daarom is het beter dat je of (a) een automatische notificatie krijgt als een admin jouw account benadert, (b) jij een deel van de andere sleutel hebt zodat een admin nooit zonder jouw sleutel bij je data kan of (c) betere logging en regelmatige checks op high-security accounts op acces door een derde binnen het bedrijf (soort van toezichthouder).

[Reactie gewijzigd door CyberMania op 28 juli 2020 10:51]

Een sleutel is alles behalve praktisch. Als de gebruiker die verliest heb je niets meer voor een recovery. En logging is leuk, maar als je ziet dat deze medewerkers zelf tickets met een motivering maakten, dan ga je dat ook niet snel opmerken.
Je zou kunnen vlaggen op blauw vinkje (die je niet zomaar krijgt bij Twitter) en meerdere calls in x tijd.
Op het moment dat dat gebeurd zou een security persoon er naar kunnen kijken of zelfs navraag kunnen doen.
Een analyse van logs kan misschien wel helpen. Als een beroemdheid bovengemiddeld veel hulpvragen heeft kan dat reden zijn om de boel te controleren. Mochten het toch legitieme hulpvragen zijn dan is het sowieso verstandig daar wat aandacht aan te schenken.
Punt (a) zie ik steeds meer terug komen in bedrijfssoftware en onlangs zelf ondervonden. Op mijn verzoek had een admin een wijziging aan mijn account doorgevoerd. Toen ik inlogde na de wijziging gaf het systeem een melding waarin stond dat mijn account was gelezen en gewijzigd door de admin inclusief timestamp.
of d) stop gewoon met dat hele platform, want het maakt meer kapot dan je lief is. De VS ondervinden dat nu aan den lijve. Het Facebookkwartje was al gevallen, op sommige plekken... nu deze nog.

[Reactie gewijzigd door Vayra op 28 juli 2020 11:29]

Dat lijkt mij ook de beste optie. Je vraagt je zelfs af waarom mensen het na die hack nog gebruiken.
Om dezelfde reden dat mensen bijvoorbeeld ook nog bv Facebook gebruiken: Je soortvan moet wel. Ik kan nu zo stoppen met FB (I'd like to thing), maar dan ga ik daadwerkelijk dingen missen, bepaalde informatie.

Denk aan iemand die een verjaardag-event maakt, of zn promotie plaatst, of het overlijden van een kat. Ongeacht wat we vinden van die info, ik blijf er wel door op de hoogte.
Hetzelfde principe is van toepassing bij Twitter (of een ander medium naar keuze).

Combineer dat stukje kennis met het kleine percentage dat weet van dit soort hacks. Mijn vriendin weet bv echt niet wat Cambridge is. Ongetwijfeld een keer voorbij horen komen op t nieuws, maar als non-ITer hecht je daar een hele andere waarde aan.

(En dat is nog los van de 'ik heb toch niets te verbergen, ze mogen alles weten'-gekkies)
Je moet niks, ik ben er ook mee gestopt. Ik hoef echt niet te weten van iemand die ik enkel virtueel ken wat er met z'n kat is gebeurd. Bij mensen die ik persoonlijk ken bereikt dat nieuws mij ook wel.
Ben met FB en Twitter en de rest gestopt, uiteindelijk levert een paar keer per maand met een vriend naar de kroeg meer op dan iedere dag berichtjes lezen.
Je moet wel is een persoonlijke keuze maar ik snap je punt. Er is een naam voor

FOMO - Fear Of Missing Out.

Ik kan je uit ervaring vertellen dat je weinig mist. Lees een krant. Onderhoud een paar groepsapps. Het leven wordt zoveel simpeler, en delen in beperkte kring is m.i. veel leuker. De aandacht is wat 'echter'.

Het is hoe dan ook al een zegen om van die timeline af te zijn en al die onzin te moeten zien langskomen. Onbewust pik je het toch op, en het is en blijft onzin. Informatie vervuiling voor je brein.

[Reactie gewijzigd door Vayra op 28 juli 2020 21:15]

Dergelijke situaties zal je ondanks alle trainingen en protocollen, en geheimhoudingsverklaringen toch wel houden. Dat iemand wel een familielid of kennis van een kennis kent die vanuit (tijdelijke) functie bij dergelijke informatie kan komen. En als er dan geld, of andere gunsten worden aan geboden. Dan wordt de verleiding groter. En krijg je al gauw de term, uit de journalistiek, een goed geïnformeerde betrouwbare anonieme bron, die bij het project betrokken is.
Ikzelf kan ook bij erg gevoelige informatie als ik dit wil, maar toch doe ik dit niet. De kans dat ik alsnog gepak wordt is het niet waard om mijn carriere te verliezen. VOG kan ik dan wel vergeten en die heb je tegenwoordig overal in IT lang voor nodig.
Ik ben overigens wel benieuwd welke stappen iemand als Beyoncé allemaal neemt op vlak van (it-) beveiliging. Met zoveel potentiële stalkers en "nieuwgierigen" zal dat toch iets meer zijn dan een gewone up-to-date Androidtelefoon?
VPN zou al een goed begin zijn ja
Ik kan me voorstellen dat ze een prive telefoon heeft en een twitter telefoon
Of een assistent die voor haar twittert
Natuurlijk werkt Twitter aan het continu verbeteren van de beveiligingstools. Alleen blijkbaar wel reactief en niet proactief.
Zo zouden alle Twitter-medewerkers in de afgelopen week een online beveiligingstraining hebben gevolgd, die onder meer over phishingaanvallen ging.
Nou, probleem opgelost!

[Reactie gewijzigd door Xfade op 28 juli 2020 13:47]

In een reactie zegt Twitter zich niet te kunnen vinden in de toezichtclaims van de Bloomberg-bronnen.
Waarom niet? Je niet in claims kunnen vinden vraagt om een goed onderbouwing. Is die gegeven?
Twitter zou continu werken aan het verbeteren van de beveiligingstools om mogelijke problemen altijd voor te kunnen zijn.
Continu proberen te verbeteren wil niet zeggen dat je dus geen onderwerpen om te verbeteren had. Het kan net zo goed betekenen dat er veel te verbeteren was en dat de verbeteringen nauwelijks effect hebben of onvoldoende zijn. Dit zegt dus niet waarom Twitter zich niet in de claims kan vinden. Het kan makkelijk betekenen dat de claims terecht waren en daarom verbeteringen nodig zijn.
Zo zouden alle Twitter-medewerkers in de afgelopen week een online beveiligingstraining hebben gevolgd, die onder meer over phishing aanvallen ging.
Het gaat om een situatie in 2017 en 2018. Hoe is de training daaraan gerelateerd als ze bij Twitter menen dat ze zich niet in de claims kunnen vinden? Wat heeft die training om niet in phishing te trappen te maken met deze beweringen wat personeel zelf zou hebben gedaan?

De reactie van Twitter lijkt bedoeld om het zo snel mogelijk van onderwerp te willen veranderen door te laten zien hoe goed Twitter met beveiliging bezig zou zijn. Maar dat beantwoord niet of ze dat bij Twitter wel goed doen en of de beweringen echt niet kloppen. Het sluit het zelfs niet uit. En dat laatste is misschien wel het meest verontrustende met de recente inbraak die ze hebben gehad. Hoe kunnen we op Twitter vertrouwen als hun reactie is om het liever niet over de claims te hebben maar zo snel mogelijk te laten gaan over het oppoetsen van hun imago met weinig zeggende antwoorden?
We hebben soortgelijke problemen getackeld door een escalatie procedure te bedenken. Escalatie van rechten is alleen mogelijk via een inked-paper white-paper procedure, waarbij automation de rollen / rechten inricht. Exeptions (in diverse vormen) kunnen vervolgens worden gemaakt, maar moeten worden gecommit. Dit zorgt voor een world-class audit trail. White-paper situation wordt restored op vaste intervallen of trigger basis. Op het moment dat voor een zeer onwaarschijnlijke reden ook de automation systemen volledig omvallen grijpen we pas naar keys / admin access. Alle API calls worden gelogd en direct geforward buiten bereik van de normale systemen, en dat is dan de laatste layer voor een audit trail.

We leggen op die manier een combinatie tussen 'iedereen mag bij productie - Netflix' en 'least privilege is een security cornerstone - DNB'. Twitter zou er (als first class techbedrijf) goed aan doen dit soort methodieken die tegenwoordig goed te implementeren zijn mee te nemen in de foundations van product en systeem design. Er bestaat geen excuus meer om dit soort zaken niet mee te nemen.

Bij het bedenken van smoesjes en helpdesk tickets verzinnen zal er toch een collega in de beslissing mee moeten gaan. De acties zullen op naam gelogd worden. Op het moment dat er onzin mee gedaan wordt kunnen de medewerkers dan hoofdelijk aansprakelijk gesteld worden.

Op het moment dat dat soort dingen dan nog steeds fout gaan door de zwakste schakel (de medewerker zelf) zal je toch moeten kijken naar de 'vetting' van je eigen medewerkers. Dat blijft natuurlijk een vak apart...

[Reactie gewijzigd door HgnX op 28 juli 2020 14:45]

Ik zie allerlei reacties hoe het beter kan, maar dat gaat m.i. over gevallen waar je bijv. werknemer bent, een betaalde dienst afneemt o.i.d. Twitter (et cs) zijn gratis. Jouw gegevens zijn hun informatiemodel. Is het onlogisch c.q. onredelijk om te veronderstellen dat privacy in zulk soort bedrijven anders behandeld kan worden dan betaalde diensten? (ik laat even buiten beschouwing dat er meer diensten c.q. zelfs overheidsinstellingen zijn ook niet al te transparant zijn en best wel datahongerig zijn).

Kortom: wie (gratis) wil twitteren, levert zichzelf uit.

PS. overigens is in systeembeheer land niet ongebruikelijk dat een beheerder vaak (te) veel kan zien. Correct inrichten van systemen en database en onderscheid maken tussen functioneel beheer en datatoegang, incl. (interne) audit is niet altijd goed geregeld (en is soms best lastig). Ook meervoudige audit (bijv. in escalatieprocedures) is potentieel een wassen neus als iedereen de hand boven het hoofd houdt. Hoger management leest doorgaans geen (audit)logs. En bij ontbreken van externe audits, zijn de logs louter bits op een disk. Op dit gebied is best wel wat certificering/procedures, maar veelal is de naleving ervan meer voor de (externe) klanten (van: kijk wij hebben onze zaakjes op orde) dan dat er daadwerkelijk in de ethische genen van een bedrijf zit dat er eerlijk gehandeld wordt. Met meer regels maak je niet meer ethiek. Maar misschien ben ik te cynisch (geworden).
Geen werknemers maar onderaannemers dus.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee