ソーシャルエンジニアリングに陥った従業員によるTwitterへの不正アクセス

ソーシャルエンジニアリングに陥った従業員によるTwitterへの不正アクセス

今回のTwitterへの大規模な侵入は、従業員がソーシャルエンジニアリング計画に陥ったことが原因でした

AppleのTwitterアカウントはビットコイン詐欺師によって侵害され、Elon Musk、Jeff Bezos、Bill GatesなどのTwitterアカウントもハッキングされました

Twitterの公式ブログによると

現時点では、攻撃者はソーシャルエンジニアリングのスキームを通じて特定のTwitterの従業員を標的にしたと考えています

これは何を意味しているのでしょうか?ここでいうソーシャルエンジニアリングとは、人々を意図的に操作して特定の行動を取らせたり、機密情報を漏洩させたりすることです

攻撃者は少数の従業員を操作することに成功し、その資格情報を使ってTwitterの内部システムにアクセスしました

現在のところ、彼らは130のTwitterアカウントを標的に、社内のサポートチームのみが利用できるツールにアクセスしていることがわかっています、そのうち45のアカウントでは、攻撃者はパスワードリセットを開始し、アカウントにログインし、ツイートを送信することができました

当社では、すべてのアカウントのフォレンジックレビューを継続しており、実行された可能性のあるすべてのアクションを確認しています、さらに、一部のユーザー名を販売しようとした可能性があると考えています

攻撃者は、関与したTwitterアカウントのうち最大8つのアカウントについて、当社の「Your Twitter Data」ツールを使ってアカウントの情報をダウンロードするという追加のステップを踏みました

これは、アカウント所有者にTwitterアカウントの詳細と活動の要約を提供するためのツールです、これが事実であると判明したアカウント所有者には、直接連絡を取っています、8つのうち、どれも認証されたアカウントではありませんでした


Twitterを利用している人にとって最も重要な質問は、おそらく、攻撃者が個人情報を見たか大多数の人にとって、答えは「ノー」だと考えています

標的にされた130のアカウントについて、今日の時点で分かっていることは次の通りです

  • 攻撃者は以前のアカウントのパスワードを見ることができませんでした
  • 攻撃者は、Eメールアドレスや電話番号などの個人情報を閲覧することができ、これらは当社の社内サポートツールの一部のユーザーに表示されます
  • アカウントが攻撃者に乗っ取られた場合、攻撃者は追加情報を閲覧できた可能性があります、これらの活動に関する当社のフォレンジック調査は現在も継続中です

(Via Twitter Blog.)


LEAVE A REPLY

*
*
* (公開されません)