Nieuws
image

Twitter: inloggegevens medewerkers via phishingaanval gestolen

vrijdag 31 juli 2020, 08:14 door Redactie, 9 reacties

De aanvallers die onlangs toegang tot de systemen van Twitter kregen wisten de benodigde inloggegevens via een telefonische phishingaanval te stelen, zo heeft de microbloggingdienst vanochtend bekendgemaakt. Bij de aanval kregen de aanvallers toegang tot de interne beheertools waarmee het mogelijk was om het e-mailadres van accounteigenaren te veranderen en tweefactorauthenticatie uit te schakelen. Op deze manier konden de aanvallers van tientallen geverifieerde accounts het wachtwoord resetten en zo de accounts overnemen.

In een update over het incident laat Twitter weten dat de aanvallers de benodigde inloggegevens via een telefonische phishingaanval hebben verkregen. Een klein aantal medewerkers was het doelwit van de aanval, waarbij ze hun inloggegevens aan de aanvallers verstrekten. Die kregen zo toegang tot de interne systemen van Twitter. Deze medewerkers hadden echter geen toegang tot de interne tools voor het beheren van accounts.

De informatie die de aanvallers op de interne Twitter-systemen aantroffen gebruikten ze vervolgens voor een telefonische phishingaanval op medewerkers die wel toegang tot de beheertools hadden. Ook deze medewerkers verstrekten hun inloggegevens, waardoor de aanvallers uiteindelijk toegang kregen. Zo konden de aanvallers via 45 overgenomen Twitteraccounts tweets versturen, werden van 36 accounts de privéberichten bekeken en van 7 accounts alle accountdata gedownload. Eerder liet Twitter nog weten dat van 8 accounts de accountdata was gedownload.

Verder stelt Twitter dat de aanvallers misbruik van "menselijke kwetsbaarheden" maakten om de medewerkers te misleiden. "Dit is een goede herinnering van hoe belangrijk elke medewerker is in het beschermen van onze dienst", merkt de microbloggingdienst op. Twitter heeft naar eigen zeggen de toegang tot de interne tools en systemen sinds het incident aanzienlijk beperkt en zal periodieke phishingtests onder het personeel blijven uitvoeren.

Image

Reacties (9)
31-07-2020, 08:43 door spatieman
right..
en iemand gaat zijn "verhoogde rechten" vrijwillig afstaan....
dan moet je al verdomd goed van vertrouwen zijn, of werden ze omgekocht met een reep chocolade hehe.
31-07-2020, 09:07 door Anoniem
Door spatieman: right..
en iemand gaat zijn "verhoogde rechten" vrijwillig afstaan....
dan moet je al verdomd goed van vertrouwen zijn, of werden ze omgekocht met een reep chocolade hehe.

Verplicht leesvoer: https://www.mitnicksecurity.com/the-art-of-deception Is zeker al 20 jaar oud. Dit gaat alleen maar over social enginering. En dat gaat heel makkelijk. En nee, dit is niet onder dwang of druk. Dit is inspelen op de menselijke factor om iemand te willen helpen.

"Hallo met collega Jantje van afdeling X in plaats Z. Kun jij mij ff helpen met een login die het bij niet doet?" Als je zo begint, en een goede babbel hebt, dan denkt de andere kant snel dat je een collega bent, en dan deel je in eens veel makkelijker wachtwoorden. Doordat je dus info hebt van hun intranet, weet je hoe een organisatie in elkaar zit, wat de terminologie is

Dus, hier blijkt maar weer, je kunt nog zoveel wachtwoorden en veiligheid systemen inbouwen, de mens is en blijft de zwakste schakel.

TheYOSH
31-07-2020, 09:37 door Anoniem
Geen enkele verwijzing naar 2-factor authenticatie. Ook met 2FA ben je nog niet 100% veilig tegen phishing, maar het maakt het wel heel veel moeilijker. Als je geen 2FA hebt ingeregeld, zeker voor een bedrijf als Twitter, dan snap je security niet.
31-07-2020, 09:56 door Anoniem
right.. en iemand gaat zijn "verhoogde rechten" vrijwillig afstaan.... dan moet je al verdomd goed van vertrouwen zijn, of werden ze omgekocht met een reep chocolade hehe.

Jij zal natuurlijk onkwetsbaar zijn tegen dit soort aanvallen.....
31-07-2020, 09:58 door Anoniem
Dus, hier blijkt maar weer, je kunt nog zoveel wachtwoorden en veiligheid systemen inbouwen, de mens is en blijft de zwakste schakel.

Er blijkt vooral hier dat men 2-factor authenticatie had moeten gebruiken voor accounts van werknemers. Waardoor een gestolen (/weggegeven) password nutteloos wordt.
31-07-2020, 10:00 door Anoniem
Tijd voor MFA zonder SMS, zonder App met Codes maar met fysieke devices: Smartcard, FIDO2, YubiKey etc ?
31-07-2020, 10:21 door souplost
Ook deze medewerkers verstrekten hun inloggegevens, waardoor de aanvallers uiteindelijk toegang kregen
Ok ze geven de medewerkers de schuld (wel opvallend veel ). Waarschijnlijk weer de leverancier van de desktop. Die geven ook altijd gebruikers en/of beheerders de schuld. Ik geloof helemaal niets van zoveel onbenul bij meedere personen tegelijk en geloof eerder dat er 1 op een verkeerd linkje heeft geklickt.
31-07-2020, 11:39 door Anoniem
Door Anoniem: Tijd voor MFA zonder SMS, zonder App met Codes maar met fysieke devices: Smartcard, FIDO2, YubiKey etc ?
Yup. Niet alle fysieke devices beschermen overigens tegen phishing. RSA tokens en varianten zoals in gebruik bij banken niet bijvoorbeeld. Pas als je ergens public-key crypto hoort (i.p.v. OTP) mag je er voorzichtig vanuit gaan dat er pas beveiliging is tegen phishing.
01-08-2020, 11:16 door Anoniem
Door souplost:
Ook deze medewerkers verstrekten hun inloggegevens, waardoor de aanvallers uiteindelijk toegang kregen
Ok ze geven de medewerkers de schuld (wel opvallend veel ).
Ze geven de medewerkers helemaal niet de schuld, aangeven dat iets gebeurd is is iets anders dan er meteen schuld aan koppelen.
Waarschijnlijk weer de leverancier van de desktop. Die geven ook altijd gebruikers en/of beheerders de schuld.
Dat is domweg niet wat er staat. Je slaat aan het fantaseren.
Ik geloof helemaal niets van zoveel onbenul bij meedere personen tegelijk en geloof eerder dat er 1 op een verkeerd linkje heeft geklickt.
Je gelooft iets niet dus ga je maar in een fantasie die je beter bevalt geloven. Maar phishing, spear phishing en oplichters die zeer bedreven zijn in het overtuigen van hun slachtoffers bestaan werkelijk. Het is niet voor niets dat je er zoveel nieuws over leest.

Misschien moet je wat je gelooft eens aanpassen aan de informatie die je krijgt in plaats van de informatie aan te passen aan wat je gelooft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search