Twitter is de afgelopen jaren meerdere keren gewaarschuwd over het monitoren van de grote groep medewerkers die toegang tot accounts van gebruikers heeft, zo meldt persbureau Bloomberg op basis van meerdere voormalige medewerkers. Aanvallers wisten onlangs toegang te krijgen tot de interne supporttools waarmee Twittermedewerkers de e-mailadressen van gebruikers kunnen aanpassen, alsmede tweefactorauthenticatie uitschakelen.

Op deze manier werden tientallen geverifieerde accounts van prominenten en bedrijven gekaapt. Twitter heeft vijftienhonderd medewerkers in dienst die accounts kunnen resetten, helpen bij gekaapte accounts en reageren op content die in strijd met de regels van Twitter is. Het monitoren van deze medewerkers is een terugkerende zorg voor de microbloggingdienst, zo stellen de bronnen waar Bloomberg mee sprak.

Naast medewerkers van Twitter zelf gaat het ook om extern ingehuurde krachten. Die zouden zelfs nephelpdeskverzoeken hebben gedaan om informatie over de accounts van bekendheden te bekijken. Bij de recente aanval zouden de aanvallers tenminste één medewerker via de telefoon hebben benaderd waarbij ze de inloggegevens voor de interne supporttools wisten te bemachtigen, zo stellen personen die met het onderzoek bekend zijn, meldt Bloomberg.

Volgens de voormalige Twittermedewerkers treuzelde het Twittermanagement geregeld met het doorvoeren van monitoringcontrols en werd de prioriteit aan consumentenproducten en -features gegeven. Ook het toezicht op het eigen personeel en externe krachten schoot te kort, waardoor er een omgeving ontstond waar teveel mensen toegang tot te krachtige tools hadden, aldus de voormalige medewerkers. Het Twitterpersoneel zou daarnaast manieren hebben gevonden om de basale monitoringssystemen te omzeilen en zo informatie over ex-partners, politici, merken en bekendheden op te vragen.

Zorgen over de vergaande toegang van personeel tot Twitteraccounts zou van 2015 tot en met 2019 jaarlijks onder de aandacht van de raad van bestuur zijn gebracht. Andere zaken die voor meer omzet konden zorgen kregen echter een hogere prioriteit, laten twee voormalige functionarissen weten. Het grasduinen in andermans accounts werd door het Twittermanagement niet als een groot beveiligingsprobleem gezien, zelfs niet toen het aantal externe krachten dat zich ging bezighouden met supporttaken toenam, merken de ex-medewerkers verder op.

Die stellen dat het bespioneren van accounts zo vaak gebeurde, dat het securityteam van Twitter in de Verenigde Staten het aantal inbraken niet meer kon bijhouden. Hoewel sommige van de externe krachten werden betrapt en ontslagen, lukte het anderen om met frauduleuze verzoeken het loggingsysteem te omzeilen. Deze krachten maakten frauduleuze tickets aan waarin werd gesteld dat er een probleem met een account was, waarna deze medewerkers zelf met het ticket aan de slag gingen.

Tijdens een recent gesprek met investeerders maakte Twitter-ceo Jack Dorsey excuses over de omvangrijke inbraak, zo meldde The Washington Post vorige week. "We zijn tekort geschoten in onze bescherming tegen social engineering van onze medewerkers en het instellen van beperkingen voor onze interne tools", aldus de topman.