Bloomberg: Twitter-werknemers misbruikten systeem om locatie van Beyoncé te zien

Ingehuurde krachten die via een bedrijf voor Twitter werkten, misbruikten in 2017 en 2018 de klantendienstsystemen om de locatie van beroemdheden, waaronder Beyoncé, te kunnen volgen. Twitter zou de waarschuwingen van medewerkers hiervoor hebben genegeerd.

Bloomberg sprak met vier ex-medewerkers en ruim zes ingewijden. Zij vertelden over de toezichtproblemen die Twitter zou hebben met de medewerkers die toegang hebben tot gebruikersaccounts. Volgens het nieuwsmedium zijn er 1500 werknemers die voor Twitter werken, gebruikersaccounts kunnen resetten, kunnen zien wie onrechtmatig toegang heeft gekregen tot een account en kunnen reageren op content die wellicht de gebruiksvoorwaarden schendt.

Volgens de Bloomberg-bronnen zijn de medewerkers relatief beperkt in welke persoonlijke data ze kunnen bekijken, al hebben ze wel toegang tot ip-adressen, e-mailadressen en telefoonnummers. Deze data kan volgens de medewerkers fungeren als startpunt voor wie een account wil volgen of hacken.

Het toezichtprobleem is volgens twee ex-medewerkers zo groot dat ingehuurde krachten er in 2017 en 2018 'een spel van maakten' om neppe helpdeskvragen te bedenken. Hiermee konden ze doen alsof ze een reden hadden om in het account van beroemdheden rond te struinen. Alleen Beyoncé wordt specifiek als doelwit genoemd. Met deze neppe helpdeskvragen wisten de ingehuurde krachten volgens de ex-werknemers persoonlijke data te achterhalen. Onder deze data viel het ip-adres van de beroemdheden, waarmee de geschatte locatie te zien kan zijn.

De statements van de Bloomberg-bronnen komen nadat bijna twee weken geleden diverse grote Twitter-accounts kortstondig werden overgenomen en waarmee cryptoscamberichten werden geplaatst. Later bevestigde Twitter dat de hackers toegang wisten te krijgen via de interne systemen en tools van zijn medewerkers.

Volgens de Bloomberg-bronnen is de top van Twitter, inclusief ceo Jack Dorsey, sinds 2015 meermaals ingelicht over de toezichtproblemen. Het Twitter-management wil volgens de bronnen liever consumentenproducten en -functies verbeteren om zo meer te kunnen omzetten in plaats van de toezichtmogelijkheden te verbeteren. Ingehuurde krachten zouden ondanks de huidige toezichtsystemen alsnog details over 'voormalige partners, politici, favoriete merken en beroemdheden' kunnen volgen, claimen de ex-medewerkers.

In een reactie zegt Twitter zich niet te kunnen vinden in de toezichtclaims van de Bloomberg-bronnen. Twitter zou continu werken aan het verbeteren van de beveiligingstools om mogelijke problemen altijd voor te kunnen zijn. Zo zouden alle Twitter-medewerkers in de afgelopen week een online beveiligingstraining hebben gevolgd, die onder meer over phishingaanvallen ging.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Redacteur

Feedback • 28-07-2020 10:4668

28-07-2020 • 10:46

68 Linkedin

Lees meer

Twitter stelt bekende hacker 'Mudge' aan als hoofd beveiliging Nieuws van 17 november 2020
Amerikaanse FTC onderzoekt mailadressen- en telefoonnummermisbruik door Twitter Nieuws van 4 augustus 2020
Twitter meldt gedaalde omzet en overweegt optionele betaalde abonnementen Nieuws van 24 juli 2020
Twitter: hackers lazen dm's van 36 accounts, waaronder van Nederlandse politicus Nieuws van 23 juli 2020
Tweakers Podcast #122 - De 'Twitter-hack', slimme meters en rijdende powerbanks .Geek van 23 juli 2020
NYT: Twitter-hack werd uitgevoerd door groep jonge mensen Nieuws van 18 juli 2020
Twitter: aanvallers richtten zich op 130 accounts voor bitcoinscamming Nieuws van 17 juli 2020
Twitter: hackers kregen toegang tot interne systemen via social engineering Nieuws van 16 juli 2020
Accounts van Apple, Elon Musk en Bill Gates plaatsen cryptoscam na Twitter-hack Nieuws van 15 juli 2020
Meer producten en artikelen
Beveiliging en antivirus Privacy Criminaliteit Crimineel Hack Hackers Twitter

Reacties (68)

-Moderatie-faq
-168058+121+21+30Ongemodereerd10
Wijzig sortering
+2uip
28 juli 2020 10:52
De titel is wat misleidend, de werknemers kregen "de locatie van Beyoncé te zien", maar het blijkt enkel het ip-adres te zijn. Nogal een groot verschil. Het is niet dat je haar stappen kon volgen. Ip-adrestracking is nogal ruw.
+1Dreamvoid
@uip28 juli 2020 11:01
En al helemaal met mobiele telefonie, je krijgt overal ter wereld een IP adres uit de range van je eigen provider.
0DarkJack
@Dreamvoid28 juli 2020 12:18
je krijgt overal ter wereld een IP adres uit de range van je eigen provider.
dat... klopt denk ik toch niet hoor. Dat zou globale routering ongelofelijk complex maken.
+1Dreamvoid
@DarkJack28 juli 2020 12:20
Roaming wordt getunneled over het gastnetwerk. Kijk het maar eens na als je op vakantie bent, je 4G telefoon heeft gewoon een Nederlands IP adres (tenzij je op een lokale wifi zit natuurlijk).

[Reactie gewijzigd door Dreamvoid op 28 juli 2020 12:22]

0XooL
@Dreamvoid28 juli 2020 15:02
Je hebt gelijk, zit in Frankrijk, maar heb IP adres van Tele2 uit Zweden. :P
0Ayyylias
@DarkJack29 juli 2020 00:34
Roaming gaat via je land waar je vandaan komt, ik zit momenteel in frankrijk, en ik heb 89.205.139.x gekregen, dit komt uit een subnet dat volgens vele diensten gewoon in nederland draait, hierdoor blijven (tenzij je via bijvoorbeeld je browser je locatie deelt met sites) je bezoekjes aan het internet vaak gewoon in het nederlands.
Het is mogelijk dat als je een provider hebt die in meerdere landen opereert dat je niet meer echt roamt, maar gewoon met het netwerk van dezelfde partij in het land waar je bent verbind :)

Ook even een traceroute om de theorie (dus niet) te bevestigen:
Hop #1 is mijn iPhone waarmee ik verbonden ben, de eerst volgende zichtbare hop ben ik op het netwerk van t-mobile in duitsland beland 8)7 8)7 8)7


mensen die nog niet zijn overgeleverd aan een provider die deze afpersing van hosting partijen/content boeren toepassen kunnen dit wel controlleren met een traceroute, omdat verkeer veelal over ams-ix/nl-ix zal lopen :)

1 2 ms 1 ms 2 ms 172.20.10.1
2 * * * Request timed out.
3 * * * Request timed out.
4 * * * Request timed out.
5 * * * Request timed out.
6 101 ms 83 ms 66 ms 84.241.225.42
7 274 ms 85 ms 69 ms 80.157.130.241
8 * * * Request timed out.
9 87 ms 83 ms 84 ms ae-1-3104.edge7.Amsterdam1.Level3.net [4.69.162.177]

[Reactie gewijzigd door Ayyylias op 29 juli 2020 00:36]

+1WhatsappHack

@uip28 juli 2020 12:41
Ik ben het grotendeels met je eens. IP geolocatie is in 99% van de gevallen voor particulieren totale onzin. Slaat helemaal nergens op. “Geschatte locatie” is in Nederland vaak bijvoorbeeld “bevindt zich ergens in Nederland” en daar houdt ‘t wel op qua betrouwbaarheid. :+

Maarrrr... Sommige providers in de VS delen dynamische IP-addressen uit die de staat of stad (enkel in grote steden) in de PTR heeft staan. Dan weet je nog steeds niet meer dan “Beyonce was in Texas” of “Beyonce was in Houston”; als Beyonce a) geen vpn/proxy gebruikt, b) het beyonce zelf is die twittert en niet haar PR/marketing manager. ;) Maar eerlijk is eerlijk: dat blijft wel een enorme inbreuk op de privacy.

Toch ben ik het er ondanks dit wél mee eens dat de titel misleidend is en het nogal een stretch is, mede omdat we niet weten of bovenstaand verhaal überhaupt van toepassing was op Beyonce...
0mkools24
@uip28 juli 2020 12:56
Dat niet alleen maar meestal maken providers nog gebruik van NAT ook, niet iedere telefoon krijgt een public IP want dan waren de IP's allang op.

Ik vind het ook ver gezocht.
0dezwarteziel
@mkools2429 juli 2020 07:37
Dat lijkt me sterk, een extern IP adres met een interne range dus 10.0.0/8, 172.16.0.0/12 of 192.168.0.0/16. Het lijkt me dat IPv6 gebruikt wordt als er geen IPv4 adressen meer zijn.
0CAPSLOCK2000

@uip28 juli 2020 14:23
Ik heb de data niet gezien en ik ben niet genoeg van fan Beyoncé om de intieme details te weten, maar op grond van dat IP-adres zul je toch snel een redelijk idee opdoen waar haar huis staat (als dat nog niet op Wikipedia staat). Als je dat eenmaal weet kun je vervolgens eenvoudig controleren of ze thuis is. Dat is een slecht moment als je wil inbreken maar een goed moment voor een ontvoering, om maar direct naar een worst-case scenario te springen.

Ik denk dat Beyoncé aardig veel over de wereld reist, en zelfs met grove IP-tracking kun je toch wel zien in welk land iemand is, en al snel meer.
+1unilythe
@uip28 juli 2020 11:19
Hem vertellen dat hij zou moeten abonneren op een dienst waar hij niet tevreden mee is is wel een raar advies.

[Reactie gewijzigd door unilythe op 28 juli 2020 11:19]

0watercoolertje
@uip28 juli 2020 11:32
Betalen is net zo hoed een bevestiging dat het al goed is. Ik ben er juist mee gestopt!
0WhatsappHack

@watercoolertje28 juli 2020 12:28
Same here. Content ging achteruit, het modsysteem is nog verder verziekt en hoe de community gerund werd stond me niet aan - zeker niet na wat oneerlijke onaangekondigde wijzigingen in het aboboard; that never sat well with me, ondanks dat ik er zelf weinig last van had. Jammer, want abodag was altijd wel erg leuk! :)
+1CyberMania
28 juli 2020 10:50
Daarom is het beter dat je of (a) een automatische notificatie krijgt als een admin jouw account benadert, (b) jij een deel van de andere sleutel hebt zodat een admin nooit zonder jouw sleutel bij je data kan of (c) betere logging en regelmatige checks op high-security accounts op acces door een derde binnen het bedrijf (soort van toezichthouder).

[Reactie gewijzigd door CyberMania op 28 juli 2020 10:51]

+1Blokker_1999

@CyberMania28 juli 2020 11:24
Een sleutel is alles behalve praktisch. Als de gebruiker die verliest heb je niets meer voor een recovery. En logging is leuk, maar als je ziet dat deze medewerkers zelf tickets met een motivering maakten, dan ga je dat ook niet snel opmerken.
0SunnieNL
@Blokker_199928 juli 2020 12:00
Je zou kunnen vlaggen op blauw vinkje (die je niet zomaar krijgt bij Twitter) en meerdere calls in x tijd.
Op het moment dat dat gebeurd zou een security persoon er naar kunnen kijken of zelfs navraag kunnen doen.
0NielsFL
@Blokker_199928 juli 2020 12:43
Een analyse van logs kan misschien wel helpen. Als een beroemdheid bovengemiddeld veel hulpvragen heeft kan dat reden zijn om de boel te controleren. Mochten het toch legitieme hulpvragen zijn dan is het sowieso verstandig daar wat aandacht aan te schenken.
+1dormamu
@CyberMania28 juli 2020 16:26
Punt (a) zie ik steeds meer terug komen in bedrijfssoftware en onlangs zelf ondervonden. Op mijn verzoek had een admin een wijziging aan mijn account doorgevoerd. Toen ik inlogde na de wijziging gaf het systeem een melding waarin stond dat mijn account was gelezen en gewijzigd door de admin inclusief timestamp.
0Vayra
@CyberMania28 juli 2020 11:28
of d) stop gewoon met dat hele platform, want het maakt meer kapot dan je lief is. De VS ondervinden dat nu aan den lijve. Het Facebookkwartje was al gevallen, op sommige plekken... nu deze nog.

[Reactie gewijzigd door Vayra op 28 juli 2020 11:29]

0mkools24
@Vayra28 juli 2020 12:51
Dat lijkt mij ook de beste optie. Je vraagt je zelfs af waarom mensen het na die hack nog gebruiken.
0Martijn.C.V
@mkools2428 juli 2020 14:32
Om dezelfde reden dat mensen bijvoorbeeld ook nog bv Facebook gebruiken: Je soortvan moet wel. Ik kan nu zo stoppen met FB (I'd like to thing), maar dan ga ik daadwerkelijk dingen missen, bepaalde informatie.

Denk aan iemand die een verjaardag-event maakt, of zn promotie plaatst, of het overlijden van een kat. Ongeacht wat we vinden van die info, ik blijf er wel door op de hoogte.
Hetzelfde principe is van toepassing bij Twitter (of een ander medium naar keuze).

Combineer dat stukje kennis met het kleine percentage dat weet van dit soort hacks. Mijn vriendin weet bv echt niet wat Cambridge is. Ongetwijfeld een keer voorbij horen komen op t nieuws, maar als non-ITer hecht je daar een hele andere waarde aan.

(En dat is nog los van de 'ik heb toch niets te verbergen, ze mogen alles weten'-gekkies)
+1mkools24
@Martijn.C.V28 juli 2020 14:55
Je moet niks, ik ben er ook mee gestopt. Ik hoef echt niet te weten van iemand die ik enkel virtueel ken wat er met z'n kat is gebeurd. Bij mensen die ik persoonlijk ken bereikt dat nieuws mij ook wel.
+1TheDutchChief
@Martijn.C.V28 juli 2020 16:53
Ben met FB en Twitter en de rest gestopt, uiteindelijk levert een paar keer per maand met een vriend naar de kroeg meer op dan iedere dag berichtjes lezen.
0Vayra
@Martijn.C.V28 juli 2020 21:11
Je moet wel is een persoonlijke keuze maar ik snap je punt. Er is een naam voor

FOMO - Fear Of Missing Out.

Ik kan je uit ervaring vertellen dat je weinig mist. Lees een krant. Onderhoud een paar groepsapps. Het leven wordt zoveel simpeler, en delen in beperkte kring is m.i. veel leuker. De aandacht is wat 'echter'.

Het is hoe dan ook al een zegen om van die timeline af te zijn en al die onzin te moeten zien langskomen. Onbewust pik je het toch op, en het is en blijft onzin. Informatie vervuiling voor je brein.

[Reactie gewijzigd door Vayra op 28 juli 2020 21:15]

+1Astrix
28 juli 2020 11:03
Dergelijke situaties zal je ondanks alle trainingen en protocollen, en geheimhoudingsverklaringen toch wel houden. Dat iemand wel een familielid of kennis van een kennis kent die vanuit (tijdelijke) functie bij dergelijke informatie kan komen. En als er dan geld, of andere gunsten worden aan geboden. Dan wordt de verleiding groter. En krijg je al gauw de term, uit de journalistiek, een goed geïnformeerde betrouwbare anonieme bron, die bij het project betrokken is.
+1Bensimpel
@Astrix28 juli 2020 11:24
Ikzelf kan ook bij erg gevoelige informatie als ik dit wil, maar toch doe ik dit niet. De kans dat ik alsnog gepak wordt is het niet waard om mijn carriere te verliezen. VOG kan ik dan wel vergeten en die heb je tegenwoordig overal in IT lang voor nodig.
+1uip
28 juli 2020 10:55
Ik ben overigens wel benieuwd welke stappen iemand als Beyoncé allemaal neemt op vlak van (it-) beveiliging. Met zoveel potentiële stalkers en "nieuwgierigen" zal dat toch iets meer zijn dan een gewone up-to-date Androidtelefoon?
0croc
@uip28 juli 2020 12:01
VPN zou al een goed begin zijn ja
0Namixam
@uip28 juli 2020 12:14
Ik kan me voorstellen dat ze een prive telefoon heeft en een twitter telefoon
Of een assistent die voor haar twittert
+1coffey
28 juli 2020 10:57
Natuurlijk werkt Twitter aan het continu verbeteren van de beveiligingstools. Alleen blijkbaar wel reactief en niet proactief.
0Xfade
28 juli 2020 13:47
Zo zouden alle Twitter-medewerkers in de afgelopen week een online beveiligingstraining hebben gevolgd, die onder meer over phishingaanvallen ging.
Nou, probleem opgelost!

[Reactie gewijzigd door Xfade op 28 juli 2020 13:47]

0kodak

28 juli 2020 14:39
In een reactie zegt Twitter zich niet te kunnen vinden in de toezichtclaims van de Bloomberg-bronnen.
Waarom niet? Je niet in claims kunnen vinden vraagt om een goed onderbouwing. Is die gegeven?
Twitter zou continu werken aan het verbeteren van de beveiligingstools om mogelijke problemen altijd voor te kunnen zijn.
Continu proberen te verbeteren wil niet zeggen dat je dus geen onderwerpen om te verbeteren had. Het kan net zo goed betekenen dat er veel te verbeteren was en dat de verbeteringen nauwelijks effect hebben of onvoldoende zijn. Dit zegt dus niet waarom Twitter zich niet in de claims kan vinden. Het kan makkelijk betekenen dat de claims terecht waren en daarom verbeteringen nodig zijn.
Zo zouden alle Twitter-medewerkers in de afgelopen week een online beveiligingstraining hebben gevolgd, die onder meer over phishing aanvallen ging.
Het gaat om een situatie in 2017 en 2018. Hoe is de training daaraan gerelateerd als ze bij Twitter menen dat ze zich niet in de claims kunnen vinden? Wat heeft die training om niet in phishing te trappen te maken met deze beweringen wat personeel zelf zou hebben gedaan?

De reactie van Twitter lijkt bedoeld om het zo snel mogelijk van onderwerp te willen veranderen door te laten zien hoe goed Twitter met beveiliging bezig zou zijn. Maar dat beantwoord niet of ze dat bij Twitter wel goed doen en of de beweringen echt niet kloppen. Het sluit het zelfs niet uit. En dat laatste is misschien wel het meest verontrustende met de recente inbraak die ze hebben gehad. Hoe kunnen we op Twitter vertrouwen als hun reactie is om het liever niet over de claims te hebben maar zo snel mogelijk te laten gaan over het oppoetsen van hun imago met weinig zeggende antwoorden?
0HgnX
28 juli 2020 14:44
We hebben soortgelijke problemen getackeld door een escalatie procedure te bedenken. Escalatie van rechten is alleen mogelijk via een inked-paper white-paper procedure, waarbij automation de rollen / rechten inricht. Exeptions (in diverse vormen) kunnen vervolgens worden gemaakt, maar moeten worden gecommit. Dit zorgt voor een world-class audit trail. White-paper situation wordt restored op vaste intervallen of trigger basis. Op het moment dat voor een zeer onwaarschijnlijke reden ook de automation systemen volledig omvallen grijpen we pas naar keys / admin access. Alle API calls worden gelogd en direct geforward buiten bereik van de normale systemen, en dat is dan de laatste layer voor een audit trail.

We leggen op die manier een combinatie tussen 'iedereen mag bij productie - Netflix' en 'least privilege is een security cornerstone - DNB'. Twitter zou er (als first class techbedrijf) goed aan doen dit soort methodieken die tegenwoordig goed te implementeren zijn mee te nemen in de foundations van product en systeem design. Er bestaat geen excuus meer om dit soort zaken niet mee te nemen.

Bij het bedenken van smoesjes en helpdesk tickets verzinnen zal er toch een collega in de beslissing mee moeten gaan. De acties zullen op naam gelogd worden. Op het moment dat er onzin mee gedaan wordt kunnen de medewerkers dan hoofdelijk aansprakelijk gesteld worden.

Op het moment dat dat soort dingen dan nog steeds fout gaan door de zwakste schakel (de medewerker zelf) zal je toch moeten kijken naar de 'vetting' van je eigen medewerkers. Dat blijft natuurlijk een vak apart...

[Reactie gewijzigd door HgnX op 28 juli 2020 14:45]

0kdekker
28 juli 2020 19:52
Ik zie allerlei reacties hoe het beter kan, maar dat gaat m.i. over gevallen waar je bijv. werknemer bent, een betaalde dienst afneemt o.i.d. Twitter (et cs) zijn gratis. Jouw gegevens zijn hun informatiemodel. Is het onlogisch c.q. onredelijk om te veronderstellen dat privacy in zulk soort bedrijven anders behandeld kan worden dan betaalde diensten? (ik laat even buiten beschouwing dat er meer diensten c.q. zelfs overheidsinstellingen zijn ook niet al te transparant zijn en best wel datahongerig zijn).

Kortom: wie (gratis) wil twitteren, levert zichzelf uit.

PS. overigens is in systeembeheer land niet ongebruikelijk dat een beheerder vaak (te) veel kan zien. Correct inrichten van systemen en database en onderscheid maken tussen functioneel beheer en datatoegang, incl. (interne) audit is niet altijd goed geregeld (en is soms best lastig). Ook meervoudige audit (bijv. in escalatieprocedures) is potentieel een wassen neus als iedereen de hand boven het hoofd houdt. Hoger management leest doorgaans geen (audit)logs. En bij ontbreken van externe audits, zijn de logs louter bits op een disk. Op dit gebied is best wel wat certificering/procedures, maar veelal is de naleving ervan meer voor de (externe) klanten (van: kijk wij hebben onze zaakjes op orde) dan dat er daadwerkelijk in de ethische genen van een bedrijf zit dat er eerlijk gehandeld wordt. Met meer regels maak je niet meer ethiek. Maar misschien ben ik te cynisch (geworden).
0Satkan
28 juli 2020 21:04
Geen werknemers maar onderaannemers dus.
1 2

Op dit item kan niet meer gereageerd worden.

Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee