Twitter stelt bekende hacker 'Mudge' aan als hoofd beveiliging

Twitter heeft beveiligingsexpert Peiter Zatko, die zichzelf Mudge noemt, aangesteld als head of security. Hij werkte eerder bij Google ATP en het Amerikaanse defensie-instituut Darpa, en is auteur van de L0pthCrack-software.

Bij Twitter krijgt Mudge een breed mandaat om veranderingen in de structuur en praktijken van beveiliging aan te brengen. Dat schrijft Reuters in een interview met het nieuwe beveiligingshoofd van het sociale netwerk. Zatko rapporteert direct aan Twitter-ceo Jack Dorsey en zal na een proefperiode van 45 tot 60 dagen de belangrijkste beveiligingstaken binnen Twitter op zich nemen.

Tegen Reuters zegt Mudge dat hij de informatiebeveiliging, website-integriteit, fysieke beveiliging en de integriteit van het platform onder de loep gaat nemen. Ook gaat hij zich bezighouden met onderzoek naar misbruik en manipulatie van het platform en de verdere ontwikkeling van Twitter.

Mudge werkte tussen 2013 en 2015 in een hoge functie bij Googles Advanced Technology and Projects-divisie. Daarvoor was hij drie jaar werkzaam als Cyber Security Director bij het Amerikaanse defensie-instituut Darpa. De in 1970 geboren Amerikaan bouwde in de jaren negentig van de vorige eeuw bekendheid op in de hackerscene.

In 1995 publiceerde Mudge als een van de eersten een paper over buffer overflow-kwetsbaarheden. Hij was een prominent lid van de hackerscollectieven L0pth en Cult of the Dead Cow. In 1997 bracht de beveiligingsexpert L0phtCrack uit, een programma om wachtwoorden te testen, te kraken of te herstellen. Die software bestaat nog altijd, maar wisselde een aantal keer van eigenaar. Sinds april 2020 is L0phtCrack in handen van Terahash.

Twitter kreeg eerder dit jaar te maken met een grootschalig beveiligingsincident. Accounts van verschillende bedrijven en beroemdheden, waaronder Apple, Elon Musk, Bill Gates en Joe Biden werden overgenomen en daarop werden cryptoscamberichten geplaatst. De aanvallers kregen door middel van social engineering toegang tot interne systemen van het sociale netwerk.

Mudge (midden) getuigde in 1998 met andere L0pth-leden voor de Amerikaanse Senaat over ernstige kwetsbaarheden van op internet aangesloten overheidssystemen.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 17-11-2020 14:01
35 • submitter: Jerie

17-11-2020 • 14:01

35 Linkedin

Submitter: Jerie

Lees meer

'Twitter-klokkenluider Zatko ondertekende geheimhoudingsverklaring met Twitter' Nieuws van 9 september 2022
Musk dagvaardt Twitter-klokkenluider in overnamerechtszaak om spamaccounts Nieuws van 29 augustus 2022
Twitter-klokkenluider getuigt over drie weken in openbare hoorzitting Senaat VS Nieuws van 25 augustus 2022
Spaanse politie arresteert 22-jarige man voor mogelijke rol in Twitter-hack Nieuws van 21 juli 2021
Twitter is begonnen met testen audiochatfunctie Spaces Nieuws van 18 december 2020
Cisco patcht opnieuw grote kwetsbaarheden in Jabber die rce mogelijk maakten Nieuws van 12 december 2020
Twitter maakt beleid posten gehackt materiaal losser omwille van journalistiek Nieuws van 17 oktober 2020
Microsoft: politieke hackers gaan over op geautomatiseerd wachtwoord raden Nieuws van 11 september 2020
'Nederlandse hackers braken in 2016 in bij Twitter-account Donald Trump' Nieuws van 9 september 2020
Amerikaanse FTC onderzoekt mailadressen- en telefoonnummermisbruik door Twitter Nieuws van 4 augustus 2020
Autoriteiten arresteren twee jongeren en klagen een derde aan voor Twitter-hack Nieuws van 1 augustus 2020
Twitter: aanval werd gedaan via gerichte telefonische phishing Nieuws van 31 juli 2020
Bloomberg: Twitter-werknemers misbruikten systeem om locatie van Beyoncé te zien Nieuws van 28 juli 2020
Twitter: hackers lazen dm's van 36 accounts, waaronder van Nederlandse politicus Nieuws van 23 juli 2020
NYT: Twitter-hack werd uitgevoerd door groep jonge mensen Nieuws van 18 juli 2020
Twitter: aanvallers richtten zich op 130 accounts voor bitcoinscamming Nieuws van 17 juli 2020
Twitter: hackers kregen toegang tot interne systemen via social engineering Nieuws van 16 juli 2020
Accounts van Apple, Elon Musk en Bill Gates plaatsen cryptoscam na Twitter-hack Nieuws van 15 juli 2020
Meer producten en artikelen
Networking en security Hackers Twitter

Reacties (35)

-Moderatie-faq
35
35
12
1
0
15
Wijzig sortering
Tomvl117
17 november 2020 14:08
De aanvallers kregen door middel van social engineering toegang tot interne systemen van het sociale netwerk.
Tsja, hoe ga je dit soort social engineering aanvallen nou eigenlijk tegen vanuit een technisch aspect? Wellicht dat 2FA en biometrische data kunnen helpen, maar je hebt slechts een enkele naïeveling nodig om daar omheen te komen.
The Realone
@Tomvl11717 november 2020 14:16
Patroonherkenning is een mogelijkheid. Met het correleren van anomalies krijg je inzicht in overwacht gedrag. Dat werkt niet bij een enkel geval, maar kan wel helpen op grotere schaal. IT Security is ook niet alleen maar het voorkomen dat er iets malafide aan de hand is, want dat lukt je nooit 100%, maar zeker ook weten dat er op dit moment iets aan de hand is. In Twitter's geval was een noodknop wellicht nodig geweest wanneer het systeem detecteerde dat er met verschillende high-prio users ineens afwijkend gedrag te zien was (10+ VIP accounts die op korte termijn ineens inloggen vanaf een andere locatie of device bijvoorbeeld).
XIU
@The Realone17 november 2020 14:34
Op een schaal van miljoenen gebruiker (en zelfs die VIP zullen er toch ook wel veel zijn) is 10 gebruikers op korte termijn die van een andere locatie inloggen toch echt niet zo uitzonderlijk wereldwijd gezien, in de huidige corona tijden zal dit misschien iets minder zijn maar lijkt me nog steeds technisch heel moeilijk om niet continue false negatives te hebben.

Dat gezegd zijnde kan zo'n noodknop altijd wel handig zijn natuurlijk.
The Zep Man
@XIU17 november 2020 14:39
Op een schaal van miljoenen gebruiker (en zelfs die VIP zullen er toch ook wel veel zijn) is 10 gebruikers op korte termijn die van een andere locatie inloggen toch echt niet zo uitzonderlijk wereldwijd gezien,
Misschien niet, maar voor iedere individuele gebruiker kan het best wel onverwacht zijn, gebaseerd op het eerdere patroon dat per gebruiker is opgesteld.

Verder heb je ook andere karakteristieken. Denk aan hoe bijvoorbeeld kleine verschillen in timing van de gebruikte client/browser.

[Reactie gewijzigd door The Zep Man op 17 november 2020 14:40]

The Third Man
@XIU17 november 2020 14:47
10 is maar een arbitrair voorbeeld. Het punt is dat normaal gedrag een normaal patroon veroorzaakt. Een hackpoging zal sneller een abnormaal effect veroorzaken, en daar kan je op handelen. Dan gaat het er dus niet om of er nou exact 10, 100 of 1000 VIP's opeens ergens anders inloggen, maar dat het aantal nieuwe inlogacties per minuut met een afwijkende locatie niet correspondeert met het normale verloop op de dag.
JeroenED
@XIU17 november 2020 14:50
Als je die 10 mensen volgens gewicht neemt (waarbij Rutten minder waard is dan Trump of Boris Johnsen en stukken meer dan jij) gingen de alarmbellen wel afgaan. Het ging namelijk om allemaal kanjers als trump of johnsen. En die gewichten kan je denk ik best maken adhv de volgers. Zo kan een voor jou nobele onbekende, toch heel wat gewicht in de schaal leggen wegens zijn/haar populariteit bij 12-jarigen, eventueel wat gemiddelde leeftijd mee in de schaal leggen want sommige leeftijdsgroepen lezen enkel twitter de dag van vandaag.
Firestorm
@XIU17 november 2020 16:11
Je kunt meer zaken meenemen, zo zijn er credit card bedrijven die verplaatsingen correleren aan vliegroutes en andere vormen van transport om daarmee te kunnen vaststellen of het uberhaupt mogeljk is dat een persoon zich op de plek van de verdachte transactie bevind.
https://www.youtube.com/watch?v=HkZNddd9Pxc
kodak
@The Realone17 november 2020 16:06
L0pth en Cult of the Dead Cow zijn als eerste bekend geworden door te kijken naar zwakke plekken, juist niet door eerst met oplossingen te komen en er dan een probleem bij te bedenken waar dat leuk bij past.
Ik verwacht dus eerder dat 'Mudge' als eerste gaat kijken naar de status van beveiliiging, met welke risico's ze rekening houden en of het personeel en de middelen daar wel geschikt voor zijn. Niet gek als het er op lijkt dat er niet heel goed over de beveiliging nagedacht leek terwijl er zo veel op het spel staat.

[Reactie gewijzigd door kodak op 17 november 2020 16:13]

Stijn Weijters
@Tomvl11717 november 2020 14:39
In twitter dus op tweets zou ik graag een spam of copy/paste filter zien, iig iets dat aan geeft dat tweet niet origineel is en/of gewoon gekopieerd. er word zo ontzettend veel gespammed echt niet leuk meer...
ffha
@Tomvl11717 november 2020 15:07
In mijn ogen is er niks tegen te doen. Je moet er vanuit gaan dat de gebruiker de zwakste schakel is (al zijn er natuurlijk zat voorbeelden van lekke softwarepakketten).

Je kan wel de schade beperken, of zelfs voorkomen dat ze überhaupt iets kunnen. Voldoende afbakening van rechten per werknemer, file auditing, actieve monitoring van activiteit, afhankelijk van de werknemer hun functie alleen on-site logins of via een beveiligde VPN etc.

Bij die Twitter-hack bijv., waarom kon die werknemer überhaupt email-adressen van Twitter-accounts aanpassen? Is dat niet iets wat alleen de gebruiker zelf zou moeten kunnen? Goed, misschien niet overal even realistisch, maar ik ben van mening dat een gebruiker z'n account van de gebruiker is en dat werknemers niks met de data van dat account zouden moeten kunnen anders dan verwijderen/bannen.

Waarom gingen er geen alarmbellen rinkelen toen het account van die werknemer zoveel drastische aanpassingen deed in zo'n korte tijd? Is het gebruikelijk dat zo'n werknemer binnen een dag meerdere email-adressen aanpast? Lijkt me niet.
Zet er een limiet op (bijv. 3 per 24 uur). Als die wordt overschreden, account automatisch op slot en een notificatie gestuurd naar de afdeling beveiliging over verdachte activiteit.

Je kan ook de Twitter-accounts zelf monitoren. Hoe vaak komt het voor dat een account voor legitieme redenen van email-adres verandert en vervolgens direct een nieuw wachtwoord aanvraagt?
Wat nou als je die accounts eerst 24 uur bevriest? Dan heeft de echte eigenaar tijd om te merken dat hun account gekaapt is en kunnen ze een support-ticket aanmaken.

Voorkom dat de aanvallers meer kunnen dan zou mogen, dat ze niet dieper kunnen indringen, beperk eventuele schade die ze kunnen veroorzaken en zorg ervoor dat verdachte activiteit op tijd opgemerkt wordt (en liever nog dat deze zelfs automatisch stopgezet wordt).
Randomguy369
@Tomvl11717 november 2020 14:27
De kans dat Apple iets zegt over crypto en daarbij ook nog linkt naar een vage link is erg klein. Dus dan kan je een bevestingsmail sturen met een link om dat bericht echt te plaatsen.

Zo zijn er voor de meeste vormen wel middelen te bouwen die dit kunnen voorkomen.
Keypunchie
@Tomvl11717 november 2020 14:28
Ook voor social engineering geldt het concept 'attack surface'.

Wie bij welke data kan, wie hoge rechten heeft, voor welke dingen je 4-ogen principe nodig hebt, etc. (Maar ook, dat dat niet per se voor de buitenwereld makkelijk te verkrijgen informatie is).

[Reactie gewijzigd door Keypunchie op 17 november 2020 14:29]

YopY
@Tomvl11717 november 2020 15:20
Audit logging zullen ze al hebben; ik denk dat er niet echt een technische oplossing is. "High profile" accounts (zoals Trump) zouden ze vanuit beheerskant als "four eyes" moeten aanmerken, dwz dat er altijd twee mensen moeten zijn die een wijziging kunnen goedkeuren.

Ik bedoel de grote accounts zijn verantwoordelijk voor enorm veel "engagement" en dus inkomsten; Trump alleen al zal ze miljoenen aan ad views e.d. verdiend hebben. Daar kunnen ze een heel team van mensen voor inhuren die het account + alle interacties in de gaten houden.
nst6ldr
@Tomvl11717 november 2020 16:16
Heel eenvoudig: zorgen dat mensen niet zelfstandig dat soort wijzigingen kunnen uitvoeren. Vier-ogen principe en toetsing op elkaars werk. Het is wat omslachtig, maar de vraag is hoe vaak er wijzigingen doorgevoerd worden. Bedrijven met een change proces doen niet anders.
bzzzt
@Tomvl11717 november 2020 17:13
Er zijn prima technische oplossingen denkbaar voor het '4 ogen principe', maar die moeten natuurlijk wel ingevoerd worden en draagvlak hebben...

[Reactie gewijzigd door bzzzt op 17 november 2020 17:15]

Sicos
17 november 2020 14:06
Hoe goed je het ook beveiligd niks is opgewassen tegen social engineering.... er zijn zelfs gevallen met 2FA die op dat gebied mis gaan.
Kuusje
@Sicos17 november 2020 14:17
Er is heel veel opgewassen tegen social engineering. Dat je een username en wachtwoord hebt (ook al is het van de admin) zou niet moeten betekenen dat je alles kan doen.

Wanneer het systeem detecteert dat er een login plaats vindt vanaf een nieuwe locatie/device (bij Tweakers krijg je ook een melding) en het gaat om een admin account, dan zouden er al bellen moeten gaan rinkelen. Niet per sé alles op slot (een admin die vanaf elders snel een hotfix moet doen o.i.d) maar het is wel zeer verdacht. Als vervolgens verdacht gedrag plaatsvindt ("select [CREDIDCARD-ID] from [CUSTOMERS]"), dán zou de verbinding gekilled moeten worden en het account geblokkeerd.

Toegang hebben tot het systeem is niet een kwestie van 'ja maar ik heb de sleutel dus ik kan alles'. Ten minste, dat zou het niet moeten zijn bij bedrijfssystemen :P.
FreshMaker
@Kuusje17 november 2020 16:15
Tweakers reageert niet op een andere locatie ( tenminste, nog niet meegemaakt )
Ik wissel regelmatig tussen mijn vpnlokaties, omdat ik op andere site's wel eens wat minder 'trackable' wil zijn.
Zo komt het voor dat ik afwisselend met FF, Chrome of Edge ingelogd en wel in een paar minuten van Tokio naar Brussel / Amsterdam gegaan ben
_Thanatos_
17 november 2020 16:08
De in 1970 geboren Amerikaan bouwde in de jaren negentig van de vorige eeuw bekendheid op in de hackerscene.
Geboren zeker op 01-01-1970 om precies middernacht :)
FreshMaker
@_Thanatos_17 november 2020 16:20
Bijna correct, 01 december 1970 ...

So close....SO close :+
Berioh
17 november 2020 14:09
Iemand anders het gevoel dat die foto is genomen op de set van Revenge of the Nerds?
SunnieNL
@Berioh17 november 2020 14:17
Ben het eens met het laatste avondmaal wat genoemd wordt...

Wat ik interessanter vind is de ondertitel: "over ernstige kwetsbaarheden van het internet."
Wat voor kwetsbaarheden heeft het internet dan? Volgens mij heeft het internet zelf niet zo veel kwetsbaarheden en liggen die meer bij de apparatuur dat er op aangesloten is.
AuteurXtuv
@SunnieNL17 november 2020 14:54
Die omschrijving is wat kort door de bocht ja. Ik verduidelijk het wat :) Gaat hierover: https://web.archive.org/w...sgac.senate.gov/l0pht.htm
rrrandy
@SunnieNL17 november 2020 14:56
Zonder dit verder uitgezocht te hebben, vergeet niet dat het hier gaat om een foto van een zaak uit 1998 toen https nog lang niet zo breed geadopteerd was als nu.
killercow
@SunnieNL17 november 2020 16:29
Het internet zelf heeft genoeg serieuze kwetsbaarheden, en toen was dat niet anders.
Denk alleen al aan de zwakheden in BGP, die meerdere keren per jaar al dan niet bewust worden getripped waarbij het verkeer bedoeld voor een AS, eventjes via een andere AS loopt..
Jerie
@SunnieNL17 november 2020 23:15
Ben het eens met het laatste avondmaal wat genoemd wordt...

Wat ik interessanter vind is de ondertitel: "over ernstige kwetsbaarheden van het internet."
Wat voor kwetsbaarheden heeft het internet dan? Volgens mij heeft het internet zelf niet zo veel kwetsbaarheden en liggen die meer bij de apparatuur dat er op aangesloten is.
Goed lezen. Foto is uit 1998.

Toen had internet zat bekende kwetsbaarheden. Gebrek aan TLS, exportrestricties cryptografie (40 of 56 bit RSA in de browser haha), DNS plaintext (bijv cache poisoning), BGP (hijacking bijv), enz enz. Alleen die laatste is nog wijd verspreid. Tweakers had onlangs een achtergrondartikel over dit onderwerp. Ook is 1998 nog de tijd voor het ILoveYou virus. Mensen draaiden nog Windows 9x waarbij ze een MSIE4 als root draaiden. ActiveX, Flash. Kun je zo een boek over schrijven.
SunnieNL
@Jerie17 november 2020 23:27
Ik kan goed lezen... ;)
Maar Tweakers heeft het na mijn commentaar al aangepast zodat het minder algemeen is en duidelijk is waar de foto vandaan komt.

Ik kan ook schrijven dat een auto onveilig is. Wat net zo niets zeggend is als dat er ernstige kwetsbaarheden zijn in het internet. Wat zelfs in 1998 te algemeen was om ook maar een idee te hebben waar het over ging.
rrrandy
@Berioh17 november 2020 14:12
De foto doet mij eerder denken aan het laatste avondmaal ;)
fender89
@Berioh17 november 2020 14:16
Ik moest meer denken aah 'het laatste avondmaal' ;)
Tymusz
@Berioh17 november 2020 15:56
eerder 'het laatste avondmaal'

(gut wat ben ik origineel)

[Reactie gewijzigd door Tymusz op 17 november 2020 15:56]

NeFoRcE
17 november 2020 14:27
Hij lijkt een beetje op Dr. Okun, maar dan met andere kleur haar...
slijkie
17 november 2020 14:35
Zal een leuk salarisje zijn. :P
thePiett
@slijkie17 november 2020 14:58
Bij een grote verantwoordelijkheid hoort een passend salaris.
YopY
@slijkie17 november 2020 15:22
Hoeft niet; de CEO verdient maar $1,40 per jaar (om belasting te ontwijken; hij is multi-miljardair vanwege aandelen).
killercow
@YopY17 november 2020 16:30
Met een groter salaris zou hij alsnog meer verdienen, het is niet zo dat je met willekeurig welk salaris minder overhoudt na belasting dan met een willekeurig lager salaris. (ook in de vs werkt met met schalen zoals wij in Nederland)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee