Twitter在周四分享的一篇博客文章中透露,许多员工在7月15日迄今为止最大的黑客攻击中如何破坏其系统的最新更新中,成为“电话矛网络钓鱼攻击”的受害者。
鱼叉式网络钓鱼攻击是一种有针对性的尝试,旨在通过手机从特定个人(在本例中为Twitter员工)窃取帐户详细信息或财务信息等信息。
黑客的成功取决于两个关键因素–黑客可以访问Twitter的内部网络,并且可以从特定的Twitter员工那里获得凭据。
区块链初创企业Make Sense Labs的首席技术官Ben Sigman此前对CoinDesk 表示,员工的凭证为Twitter的内部支持工具提供了“ 上帝模式 ”访问。
根据Twitter的说法,并非所有曾经成为网络钓鱼攻击目标的员工都具有使用帐户管理工具所必需的权限。
相反,黑客获得了Twitter内部系统的访问权,并发现了与社交媒体巨头的流程有关的更多信息,从而使黑客可以锁定有权访问支持管理工具的员工。《纽约时报》先前报道称,黑客在该公司的Slack服务器中发现了其他凭据。
黑客针对130个Twitter帐户发布了 Twitter比特币赠品骗局,并从36个帐户(包括CoinDesk的帐户)访问DM收件箱。
Twitter说,这次攻击依靠“重大而协调的努力”来误导特定员工和“利用人为漏洞”,以便获得对其平台的访问权限。
自黑客入侵以来,Twitter表示,在完成调查后,它“极大地”限制了对其内部支持管理工具的访问,以“确保持续的帐户安全性”。
目前,诸如“您的Twitter数据”和流程之类的功能已受到其工具限制的影响。
有关该黑客的详细技术报告预计将在稍后发布,因为它正在等待正在进行的执法调查以及维护平台的进一步工作。