الملخص

  • كان فشل السيطرة أكبر من السرقة.استخدم المهاجمون الهندسة الاجتماعية عبر الهاتف للحصول على بيانات اعتماد الموظفين، وتعلم العمليات الداخلية، والوصول إلى الموظفين الذين لديهم صلاحية دعم الحسابات، واستخدام أدوات تويتر الخاصة ضد 130 حسابًا. ذكرت تويتر أنه تم إرسال تغريدات من 45 حسابًا، وتم الاطلاع على صناديق البريد الوارد للرسائل الخاصة لـ 36 حسابًا، وتم تنزيل أرشيفات الحسابات لـ 7 حسابات. هذه إجراءات ومجموعات متأثرة مختلفة، وليست تعريفات قابلة للتبديل للاختراق.
  • كانت الأداة الإدارية تابعة للاعتماد على التواصل العام.يمكنها دعم إعادة تعيين كلمات المرور، وتغيير حالة الحساب، وكشف معلومات الاتصال وتسجيل الدخول، والمساعدة في نقل السيطرة من مالك شرعي. بمجرد إساءة استخدام هذه السلطة، أصبح شارة الحساب الأصيل، ورسم بياني للمتابعين، وتاريخ المنشورات بنية تحتية لتوزيع ادعاءات شخص آخر. أدى احتواء تويتر لاحقًا إلى منع العديد من الحسابات الموثقة الشرعية من التغريد أو تغيير كلمة المرور، بما في ذلك المؤسسات العامة التي تحاول التواصل.

سطح الاسترداد كان جزءًا من الساحة العامة

تبدو الشبكة الاجتماعية من الخارج كخدمة نشر. يسجل الشخص الدخول، ويكتب رسالة، ويوزعها على متابعيه. وراء هذا الإجراء البسيط توجد خدمة أكثر قوة لا يراها المستخدمون العاديون أبدًا: آلية استرداد الحسابات، وتغيير عناوين البريد الإلكتروني المرتبطة، وإعادة تعيين كلمات المرور، وتعطيل المصادقة متعددة العوامل، والتحقيق في الإساءة، وتطبيق القواعد، والرد على الطلبات القانونية، واستعادة الوصول عندما يتم قفل المالك الشرعي.

هذه الآلية ضرورية. يفقد الناس أجهزتهم، وتغير الشركات موظفيها، ويتم تعليق الحسابات عن طريق الخطأ. ومع ذلك، كل قدرة استرداد هي أيضًا نظام مصادقة بديل. الموظف الذي يقرر أن طالبًا ما يستحق حسابًا يمارس سلطة هوية، وليس مجرد خدمة عملاء.