Résumé

  • La défaillance du contrôle a été plus grave que le vol.Les attaquants ont utilisé l'ingénierie sociale par téléphone pour obtenir les identifiants d'employés, apprendre les processus internes, atteindre des employés ayant accès aux fonctions de support de compte et utiliser les propres outils de Twitter contre 130 comptes. Twitter a indiqué que des tweets ont été envoyés depuis 45 comptes, que les boîtes de réception de messages directs ont été consultées pour 36 comptes et que les archives de comptes ont été téléchargées pour 7 comptes. Il s'agit d'actions distinctes et de populations touchées différentes, et non de définitions interchangeables d'une compromission.
  • L'outil administratif représentait une dépendance pour les communications publiques.Il permettait de réinitialiser les mots de passe, de modifier l'état du compte, d'exposer les coordonnées et les informations de connexion, et facilitait le transfert du contrôle depuis le propriétaire légitime. Une fois cette autorité détournée, le badge de compte authentifié, le graphe de followers et l'historique des publications se transformaient en infrastructure de distribution pour les revendications d'une autre personne. La mesure de confinement de Twitter a ensuite empêché de nombreux comptes légitimes vérifiés de tweeter ou de changer de mot de passe, y compris ceux d'institutions publiques tentant de communiquer.
  • L'escroquerie visible était financièrement modeste, mais révélatrice sur le plan opérationnel.Le Département des services financiers de l'État de New York (NYDFS) a estimé à environ 118 000 $ le montant de bitcoins dérobés. Ses entreprises régulées ont signalé avoir bloqué des tentatives de transfert d'environ 1,347 million de dollars, tandis qu'une poignée de leurs clients ont perdu environ 22 000 $ avant que les blocages ne prennent effet. Ce contraste montre à quelle vitesse les contrôles en aval ont dû compenser une défaillance de confiance créée en amont.
  • La responsabilité est concurrente, mais pas égale.Les délinquants contrôlaient la tromperie, l'accès non autorisé, la vente de comptes, les messages frauduleux et le vol. Twitter contrôlait l'étendue de l'autorité de support, l'authentification, la recertification des accès, la surveillance, les approbations à haut risque, le confinement, la récupération et la communication publique. Les détenteurs de comptes et les plateformes financières pouvaient réduire les pertes en aval, mais ils ne pouvaient ni concevoir ni auditer la console interne de Twitter.
  • Les informations publiques étayent un niveau de confiance élevé dans le déroulement de l'attaque et son impact, mais pas une reconstruction forensique complète.Le NYDFS, Twitter, les plaintes pénales, les plaiders coupables ultérieurs, l'analyse de la blockchain et les documents déposés par l'entreprise convergent sur la séquence principale. Ils ne divulguent pas la piste d'authentification complète, chaque action privilégiée, les permissions exactes de chaque employé compromis, toutes les preuves de session, les alertes de détection ou les preuves de clôture indépendantes pour chaque mesure de remédiation.

La surface de récupération faisait partie de la place publique

De l'extérieur, un réseau social ressemble à un service de publication. Une personne se connecte, rédige un message et le distribue à ses followers. Derrière cette action simple se cache un service plus puissant que les utilisateurs ordinaires ne voient jamais: la machinerie de récupération de comptes, de modification des adresses e-mail associées, de réinitialisation des mots de passe, de désactivation de l'authentification multifacteur, d'enquête sur les abus, d'application des règles, de réponse aux demandes légales et de rétablissement de l'accès lorsqu'un propriétaire légitime est bloqué.

Cette machinerie est nécessaire. Les gens perdent leurs appareils, les entreprises changent de personnel et des comptes sont suspendus par erreur. Pourtant, chaque capacité de récupération est aussi un système d'authentification alternatif. Un employé qui décide qu'un demandeur a droit à un compte exerce une autorité d'identité, et ne se contente pas de fournir un service client.

L'enquête du Département des services financiers de l'État de New York (NYDFS)décrit les outils internes de Twitter comme exposant des informations de compte non publiques, notamment l'adresse e-mail associée, le numéro de téléphone et l'adresse IP de connexion. Les employés autorisés pouvaient les utiliser pour mettre à jour les adresses e-mail, réinitialiser les mots de passe et activer ou désactiver l'authentification multifacteur. Certains outils prenaient également en charge l'application du contenu et les réponses aux demandes légales. Il s'agissait d'une surface combinée pour l'identité, la vie privée, la parole et la conformité institutionnelle.

Le 15 juillet 2020, cette surface interne est devenue un moyen de parler en tant que Barack Obama, Joe Biden, Elon Musk, Bill Gates, Apple, Uber, des plateformes d'échange de cryptomonnaies et d'autres propriétaires de comptes de premier plan. La fraude n'a pas eu à se constituer une audience ni à imiter un compte à partir de zéro. Elle a hérité du nom, de l'historique, du signal de vérification et des followers du compte réel. La propre représentation de l'authenticité par le service a fourni la couche persuasive.

Le petit montant volé peut donc être trompeur. Environ 118 000 $, c'est matériel pour ceux qui les ont perdus, mais ce n'est pas le plafond de l'événement. C'est le produit d'un seul groupe, avec une escroquerie précipitée, au cours d'un après-midi, avant le confinement. L'accès administratif à un service de communication mondial avait une valeur d'option bien plus grande.

Il aurait pu être utilisé pour publier une fausse déclaration d'entreprise, manipuler le cours d'un titre, fabriquer un message de sécurité publique, supprimer un compte légitime pendant une crise, divulguer des communications privées ou injecter une revendication politique en période électorale.

Ces scénarios contrefactuels ne doivent pas être convertis en allégations que de tels préjudices se sont produits. Ils expliquent pourquoi la conception du contrôle doit être proportionnelle à l'autorité, plutôt qu'à la valeur volée dans le cas observé. La Securities and Exchange Commission met en garde depuis longtemps contre le fait que de fausses déclarations peuvent être diffusées sur les réseaux sociaux dans le cadre de manipulations d'investissement, notamment despromotions de type « pump-and-dump » sur Twitter. Le NYDFS a également cité la prise de contrôle du compte de l'Associated Press en 2013, après laquelle un faux tweet sur une explosion à la Maison-Blanche avait été suivi d'une perte de valeur boursière rapide et temporaire. Twitter ne se contentait pas d'héberger des conversations. Il véhiculait des déclarations sur lesquelles les systèmes automatisés, les investisseurs, les journalistes, les responsables et le public pouvaient agir.

Une attaque d'une journée a connu trois phases commerciales

La reconstitution publique la plus claire est le rapport du NYDFS d'octobre 2020, étayé par des assignations, des entretiens, des documents et une enquête auprès des entreprises de cryptomonnaies régulées. Lamise à jour de Twitter sur l'incident de sécuritéfournit les chiffres et la caractérisation de l'entreprise. Les éléments des poursuites pénales ajoutent des preuves sur la vente de comptes et la piste des bitcoins, mais les allégations d'une plainte restent des allégations tant qu'elles ne sont pas admises ultérieurement ou prouvées.

L'événement n'était pas un « piratage » indifférencié. C'était une séquence dans laquelle un type d'accès rendait le suivant moins coûteux.

Heure de l'EstÉvénementSignification pour la responsabilité
14 juillet, après-midiDes appelants ont contacté plusieurs employés de Twitter en se faisant passer pour le service informatique de l'entreprise et en évoquant des problèmes de VPN.Un problème familier de travail à distance a rendu le prétexte plausible. La confiance dans un processus de support interne est devenue la surface d'entrée.
14-15 juilletLes employés ont été dirigés vers une page VPN factice. Les attaquants ont saisi les identifiants capturés dans le vrai service, générant des demandes d'approbation multifacteur que certains employés ont acceptées.Le mot de passe et l'approbation push ont été déjoués ensemble par un relais en direct. L'authentification multifacteur existait, mais la transaction n'était pas résistante à l'usurpation du vérificateur.
15 juillet, premières heuresL'accès initial des employés a été utilisé pour parcourir les sites internes et apprendre le fonctionnement des autres applications et des processus de support de compte.La première identité compromise n'avait apparemment pas l'autorité finale de gestion de compte. La connaissance interne a réduit le coût de sélection d'une cible plus privilégiée.
15 juillet, environ 3h00-10h00Les entités ont discuté de la prise et de la vente de noms de compte courts ou « OG » recherchés.Le premier modèle de monétisation était le transfert en gros de comptes, pas la fraude de masse. Un marché pour les pseudos rares a donné à l'accès administratif une valeur de revente immédiate.
Juste avant 14h00Les comptes OG détournés ont publié des images d'un outil interne.La preuve publique d'un accès privilégié a fait la publicité de la capacité et a exposé des informations opérationnelles pendant que l'incident était en cours.
À partir de 14h16Le compte d'un trader de cryptomonnaies a été utilisé pour des messages directs sollicitant des bitcoins.La sensibilisation privée a testé l'autorité volée avant la campagne publique générale.
15h18Les prises de contrôle de sociétés de cryptomonnaies ont commencé. Les intervenants de l'incident de Twitter enquêtaient déjà sur des appels et des connexions suspects.L'alerte interne existait avant ou pendant la phase publique, mais les attaquants conservaient suffisamment d'autorité pour escalader.
15h26-16h12Dix comptes liés aux cryptomonnaies ont été détournés avec des variantes de l'offre de doublement.La répétition sur des comptes authentiques a créé une corroboration apparente et élargi l'audience.
16h17-18h05Des comptes de personnalités politiques, technologiques, du divertissement et des affaires ont envoyé des messages frauduleux, certains à plusieurs reprises.La campagne est passée d'un marché de niche de comptes à un abus mondial de la confiance institutionnelle et personnelle.
17h45Twitter a publiquement reconnu un incident de sécurité.La première reconnaissance générale de la plateforme est intervenue plus de deux heures après le début de la phase des comptes de cryptomonnaies.
À partir de 18h18Twitter a empêché de nombreux comptes vérifiés de tweeter ou de changer de mot de passe et a verrouillé certains comptes récemment modifiés.Le confinement a réduit la capacité des attaquants en retirant aussi la capacité de communication légitime.
18h59Le NYDFS a ordonné aux entreprises de cryptomonnaies régulées de bloquer les adresses publiées si elles ne l'avaient pas déjà fait.Un régulateur sectoriel et des intermédiaires financiers sont devenus partie intégrante de la boucle de contrôle de l'incident de la plateforme sociale.
20h41Twitter a déclaré que la plupart des comptes pouvaient recommencer à tweeter, bien que la fonctionnalité puisse être incohérente.La publication générale a repris avant que chaque conséquence de support de compte et forensique ne soit résolue.

La séquence réfute une histoire inexacte: un employé disposant d'un accès universel a été trompé une fois, puis les comptes de célébrités ont immédiatement publié une escroquerie. Le NYDFS a constaté que le premier employé compromis n'avait pas l'accès à la gestion de compte nécessaire. Les intrus ont utilisé ce point d'appui pour apprendre les processus internes, puis ont ciblé des employés disposant d'un accès plus pertinent. Twitter a également déclaré que le personnel initialement ciblé n'avait pas tous l'autorisation de gestion de compte.

Il s'agit d'un mouvement latéral à travers la connaissance organisationnelle. La documentation interne, les noms d'applications, les descriptions de postes et les procédures de support peuvent devenir des données d'habilitation des privilèges même lorsque la première identité ne peut pas exécuter l'action finale. Le principe du moindre privilège a ralenti les attaquants, mais ne les a pas contenus parce que l'identité initiale pouvait encore atteindre des informations utiles pour sélectionner et tromper la personne suivante.

La tromperie des employés, l'accès aux outils, la prise de contrôle et la fraude sont des événements différents

Une bonne responsabilité commence par les verbes. Quatre choses différentes se sont produites, chacune avec un responsable de contrôle et une piste de preuve différents.

Premièrement, les employés ont été victimes d'ingénierie sociale.Le NYDFS a constaté que les appelants se faisaient passer pour le service informatique interne, évoquaient des problèmes de VPN courants pendant le travail à distance, utilisaient des informations personnelles pour paraître crédibles et dirigeaient les employés vers une page de connexion factice. Le rapport n'a trouvé aucune preuve que les employés aient sciemment aidé. Qualifier cela de « travail interne » contredirait cette constatation. Le qualifier seulement d'« erreur humaine » ignorerait le système qui a fait d'un appel entrant, d'un identifiant réutilisable et d'une approbation push suffisants pour l'entrée sur le réseau.

Deuxièmement, les identités d'employés ont atteint les systèmes internes.Les comptes initiaux ont fourni une voie vers les informations de l'intranet. Des identifiants compromis ultérieurement ont fourni l'accès aux outils de support de compte. L'accès à un réseau interne n'est pas la même chose que l'accès à chaque fonction administrative, et aucun des deux n'est la même chose que la propriété d'un compte d'utilisateur. Cette distinction est essentielle lors de l'évaluation de la segmentation des accès.

Troisièmement, l'autorité de support a été utilisée pour transférer ou exercer le contrôle du compte.Pour 45 comptes, Twitter a déclaré que les attaquants pouvaient initier des réinitialisations de mot de passe, se connecter et tweeter. Laplainte pénale fédérale et l'affidavit à l'appui contre Nima Fazelialléguaient un marché dans lequel un acteur démontrait l'accès à un panneau interne et utilisait des intermédiaires pour vendre le contrôle de noms d'utilisateur recherchés. Les procédures ultérieures impliquant Joseph O'Connor ont décrit l'achat d'accès non autorisé à des comptes et le transfert de comptes aux propriétaires légitimes. C'était de l'usurpation d'identité en tant que service, avec l'outillage interne comme inventaire.

Quatrièmement, certains comptes contrôlés ont diffusé une fraude.Une fausse promesse offrait de renvoyer le double du bitcoin envoyé. Le compte était authentique; la proposition ne l'était pas. Les tweets frauduleux ont exploité l'écart entre l'authenticité de la source et l'authenticité du message. Un badge vérifié pouvait indiquer que Twitter avait associé un compte à une personne ou une organisation publique. Il ne pouvait pas prouver que le propriétaire autorisé avait composé un message particulier après que le système d'identité interne ait été subverti.

Les quatre étapes impliquent quatre tests de contrôle distincts:

  1. Un appelant pouvait-il imiter de manière convaincante le service d'assistance et relayer une connexion d'employé?
  2. Que pouvait apprendre ou atteindre une identité d'employé nouvellement authentifiée?
  3. Quelles preuves et approbations supplémentaires étaient nécessaires pour changer le contrôle d'un compte à fort impact?
  4. Quelle détection d'anomalie ou friction de transaction s'appliquait lorsque de nombreux comptes de premier plan changeaient d'état et publiaient des sollicitations financières similaires?

La formation est pertinente pour la première question. Elle n'est pas une réponse complète aux trois autres.

Les chiffres de l'incident mesurent différents types de préjudices

Les chiffres publics finaux de Twitter étaient de 130 comptes ciblés, des tweets envoyés depuis 45, des boîtes de réception de messages directs consultées pour 36 et des données Twitter téléchargées pour 7. Les rapports antérieurs de l'entreprise faisaient état de jusqu'à huit téléchargements; la mise à jour ultérieure a révisé le nombre à sept. Le NYDFS a rapporté que l'outil interne avait généré des demandes de données pour 52 autres comptes pour lesquels les données n'ont pas été téléchargées.

Ces chiffres ne doivent pas être additionnés, car les groupes peuvent se chevaucher. Il ne faut pas non plus décrire les 130 comme 130 comptes utilisés dans l'escroquerie au bitcoin. « Ciblés » ou « compromis » au niveau de l'incident global incluait plus que la publication publique. Les preuves disponibles appuient plusieurs catégories de préjudices:

Catégorie de préjudicePreuve publiqueCe qu'elle n'établit pas
Perte de contrôle du compteL'état du compte a été modifié pour un sous-ensemble, et 45 comptes ont été utilisés pour tweeter.La durée exacte, la séquence d'actions et le coût de récupération pour chaque compte.
Discours public non autoriséDes messages frauduleux ont été envoyés depuis des comptes authentiques, certains plus d'une fois.Que chaque follower ait vu, cru ou agi sur un message.
Exposition des messages privésTwitter a déclaré que les boîtes de réception ont été consultées pour 36 comptes.Quels messages individuels ont été lus, copiés, photographiés ou conservés, en l'absence de journaux complets et de preuves des attaquants.
Extraction d'archives de comptesSept archives de données de comptes ont été téléchargées; aucune n'appartenait à des comptes vérifiés.Que chaque champ de chaque archive ait été utilisé ou divulgué par la suite.
Exposition d'outils de support non publicsLes vues internes incluaient les coordonnées du compte et les informations de connexion.L'ensemble complet des champs consultés pour chaque compte ciblé ou s'ils ont été capturés par des captures d'écran.
Perte financière directeLe NYDFS a estimé le total des bitcoins pris à environ 118 000 $; les entreprises réglementées ont signalé environ 22 000 $ de pertes de clients avant leurs blocages.L'identité et les circonstances de chaque expéditeur, si l'auto-financement des attaquants a gonflé les recettes brutes, ou la récupération finale pour chaque victime.
Restriction de serviceDe nombreux comptes vérifiés ne pouvaient pas tweeter ou changer de mot de passe pendant le confinement; le support des comptes a ralenti par la suite.Une liste mondiale complète des messages publics retardés ou la valeur économique de chaque interruption.
Perte de confiance et de réputationLe rapport annuel de Twitter a reconnu une possible perte de confiance, une exposition réglementaire et un préjudice pour les comptes touchés.Un montant causal précis attribuable uniquement à cet incident.

La distinction entre l'accès à la boîte de réception et le téléchargement d'archives est particulièrement importante. Une boîte de réception de messages directs peut être consultée à l'intérieur d'un compte. Une archive de données est un ensemble généré contenant une collection beaucoup plus large d'informations sur le compte. Le NYDFS a décrit le contenu de l'archive comme pouvant inclure les informations de profil, les tweets, les messages et les médias joints, les listes de followers et de personnes suivies, les données du carnet d'adresses, les données démographiques inférées et les informations d'interaction publicitaire.

Une demande n'était pas un téléchargement, et un téléchargement n'était pas la preuve que chaque enregistrement inclus a été exploité.

Twitter a déclaré avoir communiqué directement avec les propriétaires de comptes touchés et rétabli l'accès aux personnes bloquées. Sonformulaire 10-K 2020reconnaît que les communications non autorisées de comptes compromis pourraient nuire à la sécurité personnelle, à la réputation et aux marques, et que l'événement de juillet pourrait avoir des conséquences juridiques, financières et de confiance. Une divulgation des risques sur les titres n'est pas une constatation forensique indépendante. Elle est utile car elle montre que l'entreprise elle-même reconnaissait des préjudices au-delà de l'adresse de réception des bitcoins.

L'économie des contacts abusifs favorisait l'appelant

L'attaque illustre l'économie des contacts abusifs de manière précise. Une organisation de support est conçue pour réduire la friction pour les personnes légitimes. Elle centralise l'expertise, donne des outils au personnel, documente les procédures et mesure si les cas sont résolus. Ces caractéristiques réduisent le coût du service. Elles peuvent également réduire le coût marginal de l'abus si un attaquant peut déclencher à moindre coût des contacts répétés, collecter des informations à partir d'échecs partiels, et finalement atteindre une personne dont la décision porte une grande autorité.

Les attaquants n'avaient pas besoin d'une vulnérabilité logicielle inconnue auparavant. Ils avaient besoin de préparation, d'un discours convaincant, d'un site factice, de détails sur les employés et de suffisamment de tentatives. Un appel échoué coûtait peu. Un appel réussi produisait un identifiant. Un identifiant sans privilège final produisait quand même une reconnaissance interne. La reconnaissance identifiait un autre employé. Une voie réussie vers l'outil de support a ensuite soutenu de nombreuses prises de contrôle de comptes et plusieurs stratégies de monétisation.

Cela crée une asymétrie sévère:

  • l'attaquant peut appeler de nombreuses personnes, tandis que chaque employé vit une interaction de support apparemment ordinaire;
  • l'attaquant apprend des refus, tandis que les employés peuvent ne pas voir que les appels font partie d'une seule campagne;
  • l'appelant choisit le moment et le prétexte, tandis que l'employé peut être en train de gérer un problème réel de travail à distance;
  • l'entreprise supporte le coût complet des faux positifs si elle rend chaque cas de support légitime lent;
  • une approbation erronée peut créer un accès valant bien plus que le coût de tous les appels échoués;
  • la perte en aval est répartie entre les propriétaires de comptes, les destinataires de messages, les entreprises financières, les institutions publiques, les intervenants et la plateforme.

Le support devait encore fonctionner. Twitter devait changer la rentabilité. La récupération à haut risque devrait exiger des preuves qui ne peuvent pas être récoltées à partir de profils publics ou obtenues lors du même appel. Une identité récupérée ne devrait pas recevoir immédiatement tous les privilèges antérieurs. Les changements sensibles devraient générer une notification indépendante et, pour les comptes à l'impact le plus élevé, une autorisation par une deuxième personne ou un délai. Les tentatives répétées devraient être corrélées entre les employés.

La même logique s'applique après un incident. La restriction des outils a réduit les opportunités des attaquants mais a ralenti la réponse de Twitter aux demandes légitimes de support de compte, de signalement d'abus et de développeurs. La friction de sécurité a été réintroduite en masse parce qu'elle n'avait pas été appliquée de manière suffisamment sélective avant la compromission. Le coût est passé de l'action risquée à chaque utilisateur attendant de l'aide.

Une petite escroquerie a produit un flux de paiement tenté plus important

Les registres de la blockchain rendent une partie de l'événement inhabituellement visible. L'analyse de Chainalysis une semaine plus tarda révélé que les trois adresses annoncées avaient reçu 13,14 bitcoins, valant alors environ 120 000 $. Elle a également estimé qu'environ 20 000 $ provenaient d'une adresse suspecte probablement contrôlée par les attaquants, une façon courante de donner l'impression que l'escroquerie est active. Cette analyse signifie que les recettes brutes ne sont pas nécessairement identiques à la perte des victimes. Le NYDFS a utilisé environ 118 000 $ comme montant volé.

La plainte fédérale a décrit des centaines de transferts entrants vers l'adresse principale et un mouvement rapide vers l'extérieur. La blockchain publique a rendu la destination et le mouvement observables, mais l'attribution a tout de même nécessité un travail d'enquête, des dossiers de service, des communications et une procédure légale. « Traçable » ne signifiait pas automatiquement réversible. Les transferts de bitcoins, une fois confirmés, n'offraient pas la voie de rétrofacturation disponible dans certains systèmes de paiement grand public.

L'enquête du NYDFS offre une comparaison plus révélatrice. Quatre entreprises réglementées ont signalé avoir activement bloqué environ 1,347 million de dollars de tentatives de transferts de clients vers les adresses de l'escroquerie:

  • Coinbase a bloqué environ 5 670 tentatives de transfert évaluées à environ 1,294 million de dollars.
  • Square a bloqué 358 transferts évalués à environ 51 000 $.
  • Gemini a bloqué deux transferts évalués à environ 1 800 $.
  • Bitstamp a bloqué un transfert évalué à environ 250 $.

Gemini, Square et Coinbase ont déclaré au régulateur qu'une poignée de clients avaient transféré environ 22 000 $ avant que les blocages ne prennent effet. Le NYDFS a décrit ceux-ci comme les seules pertes de clients signalées parmi les entreprises réglementées interrogées. Ces valeurs ne constituent pas un registre complet des victimes à l'échelle mondiale, et le total bloqué n'est pas de l'argent volé. Il s'agit d'une sortie tentée évitée, signalée par des entreprises particulières.

Les chiffres révèlent une chaîne de dépendance. Twitter contrôlait si un compte de confiance pouvait distribuer l'adresse frauduleuse. Les entreprises de cryptomonnaies contrôlaient si un client de leur service pouvait envoyer vers cette adresse une fois qu'elle était reconnue. Les clients contrôlaient l'initiation du paiement, mais faisaient ce choix sous un signal source délibérément falsifié. Le NYDFS contrôlait la communication de supervision à ses entreprises réglementées. Les forces de l'ordre et les entreprises d'analyse ont aidé à étiqueter et tracer les adresses.

Les entreprises n'ont pas réparé Twitter. Elles ont compensé à un autre niveau en appliquant des renseignements sur la destination et des contrôles de transaction. Un intermédiaire financier qui pouvait voir une adresse d'escroquerie connue avait un rôle dans son blocage, mais ne contrôlait pas la conception des accès de Twitter. Un utilisateur devrait douter d'une offre de doublement, mais ne contrôlait pas le compte authentique depuis lequel elle apparaissait. Les devoirs concurrents n'effacent pas la partie qui a le contrôle exclusif sur la capacité défaillante.

Le confinement a désactivé les locuteurs légitimes

Twitter a été confronté à un problème difficile de réponse aux incidents. Il ne savait pas au début quelles sessions d'employés ou quels outils pouvaient être fiables. Poursuivre le fonctionnement normal risquait d'entraîner d'autres prises de contrôle. Restreindre l'accès nuirait aux personnes qui tentaient d'enquêter et de rétablir le service. L'entreprise a choisi des contrôles étendus: elle a révoqué ou limité l'accès des employés aux systèmes internes, a empêché de nombreux comptes vérifiés de tweeter ou de changer de mot de passe, et a verrouillé les comptes dont le mot de passe avait été récemment modifié.

Cette décision était défendable en tant que confinement. C'était aussi une perturbation du service. Le NYDFS a rapporté que des institutions publiques ne pouvaient pas accéder à leurs comptes, y compris son propre compte.La reconstitution de la réponse de Twitter par WIREDa rapporté que le National Weather Service n'a pas pu envoyer un avis de tornade via son compte.

C'est la dépendance au service cloud au cœur de cette affaire. Une organisation peut rédiger son propre message et contrôler son propre personnel, mais si elle s'appuie sur une plateforme sociale hébergée pour atteindre le public, sa capacité à publier dépend des contrôles d'identité et d'incident du fournisseur. Le client ne peut pas basculer les followers, l'historique et le contexte de vérification d'un compte vers un deuxième fournisseur en quelques minutes.

Un site Web de secours, une liste de diffusion, un service d'alerte ou un deuxième canal social peut transmettre des informations, mais pas nécessairement au même public ou avec la même preuve sociale.

Le compromis du confinement doit donc être traité comme une exigence de continuité, et pas seulement comme une décision de sécurité. Une plateforme qui véhicule des communications de sécurité publique et institutionnelles devrait pouvoir répondre à au moins quatre questions avant un incident:

  1. Les actions administratives à haut risque peuvent-elles être suspendues sans réduire au silence tous les éditeurs de confiance?
  2. Les comptes d'urgence ou d'intérêt public peuvent-ils continuer via une voie protégée séparément?
  3. La plateforme peut-elle communiquer l'état de l'incident via un canal contrôlé indépendamment si son propre compte et l'identité des employés sont suspects?
  4. Les institutions peuvent-elles rediriger le public vers une solution de repli authentifiée qui a été établie avant la crise?

Il n'y a peut-être pas de réponse parfaite tant qu'un plan d'identité privilégié n'est pas digne de confiance. C'est pourquoi sa portée est importante. Lorsqu'une seule surface administrative peut récupérer des comptes et forcer une large restriction de la parole pendant le confinement, la conception des outils de support devient une conception de résilience.

Twitter a déclaré que les restrictions d'accès ont également ralenti le support des comptes, le traitement des tweets signalés et les demandes de la plateforme des développeurs. La récupération n'a pas pris fin lorsque les tweets frauduleux ont cessé. Chaque cas légitime retardé faisait partie du coût opérationnel. Un certain retard était le prix d'un confinement sûr; une partie était la conséquence de la concentration de nombreuses fonctions derrière un accès auquel les intervenants ne pouvaient plus faire confiance.

La vérification authentifiait le compte, pas le moment

L'escroquerie a exploité un raccourci mental courant: un compte authentique est supposé impliquer un message authentique. La vérification a renforcé ce raccourci. Elle indiquait aux utilisateurs qu'un compte d'intérêt public était associé à la personne ou à l'organisation représentée. Ce n'était pas une signature cryptographique du propriétaire du compte sur chaque publication.

Une fois qu'un outil administratif pouvait modifier le contrôle, la vérification de la plateforme continuait d'attester une relation d'identité que la session en cours ne respectait plus. Le badge ne disparaissait pas lorsque le mot de passe, l'e-mail ou l'état multifacteur changeait. Le signal de confiance de la plateforme et le système de récupération étaient donc couplés: la décision de récupération déterminait qui héritait de la valeur persuasive du badge.

Cela a des conséquences pratiques. Les modifications de comptes à fort impact devraient être traitées différemment des publications de routine. Une plateforme pourrait appliquer une période de refroidissement, un examen supplémentaire, une notification visible au propriétaire, des limites temporaires sur les sollicitations financières, ou un changement d'état visible après une récupération assistée par le support. Chaque mesure a des coûts. Un délai peut nuire à un propriétaire de compte confronté à un abus actif. Un avertissement public peut divulguer une récupération sensible. Une règle de contenu peut être contournée.

Pourtant, aucune friction ne permet à une seule décision administrative de transférer instantanément la confiance accumulée.

Le billet de blog de septembre 2020 de Twitter surl'amélioration de la sécurité des comptes liés aux électionsdécrit des défenses de connexion plus solides, une protection par réinitialisation du mot de passe et des encouragements ou exigences concernant l'authentification à deux facteurs pour un groupe désigné. Il s'agissait de protections en aval pertinentes, mais l'incident de juillet a montré que l'authentification multifacteur côté utilisateur ne pouvait pas, à elle seule, contraindre un outil de support interne capable de réinitialiser ou de modifier l'état du compte. Protéger un utilisateur éminent au moment de la connexion et protéger le chemin de récupération des employés sont des problèmes de contrôle distincts.

« Utiliser l'authentification multifacteur » était vrai et incomplet

Les employés compromis utilisaient une authentification multifacteur basée sur une application. Le NYDFS a constaté que les attaquants ont saisi les identifiants capturés dans la vraie connexion Twitter pendant que l'employé interagissait avec le site d'hameçonnage. La vraie connexion a produit une demande d'approbation, et certains employés l'ont acceptée. Le deuxième facteur confirmait la possession d'un appareil et la volonté d'approuver. Il n'établissait pas que l'employé s'authentifiait auprès du service prévu dans une transaction qu'il avait initiée.

Twitter a déclaré plus tard avoir accéléré le déploiement de clés de sécurité résistantes à l'hameçonnage pour les employés. Son billet surle travail de sécurité continua également décrit davantage de formation, de tests d'intrusion, de planification de scénarios, d'examens de la vie privée et d'efforts pour réduire l'accès non autorisé aux systèmes internes à partir d'identifiants compromis.

La distinction de conception est étayée par des directives fédérales ultérieures. Le NIST explique quel'authentification résistante à l'hameçonnageutilise une liaison cryptographique pour empêcher la relecture des informations d'authentification capturées vers le service légitime, et la recommande particulièrement pour les utilisateurs élevés. Cette explication de 2023 est une référence, pas la preuve de ce que Twitter a déployé en juillet 2020. Le NYDFS a déclaré indépendamment qu'une clé de sécurité physique aurait arrêté le chemin d'authentification relayée qu'il a reconstitué.

Même une connexion d'employé résistante à l'hameçonnage ne traiterait que le vol initial d'identifiants. Elle ne répondrait pas à la question de savoir si trop de rôles pouvaient atteindre des outils de haute autorité, si les actions de support nécessitaient un deuxième approbateur, si un compte récupéré pouvait publier immédiatement, si la génération d'archives était anormale, ou si les sessions étaient surveillées. Une authentification forte protège la porte. L'autorisation, la conception des processus et la surveillance déterminent ce qui se passe après l'entrée.

Ledocument Zero Trust Architecturedu NIST, publié en août 2020, est utile ici parce qu'il rejette la confiance implicite basée uniquement sur l'emplacement réseau et appelle à une authentification et une autorisation discrètes avant l'accès à une ressource. Appliquer ce principe ne nécessite pas de transformer cet événement en slogan. Cela signifie qu'une session VPN valide ne devrait pas établir automatiquement un droit continu de parcourir chaque page de processus interne ou d'exécuter un changement de compte à haut risque. La sensibilité des ressources, l'état de l'appareil, le rôle de l'utilisateur, le contexte de la transaction et le comportement récent devraient influencer la décision.

La récupération ne doit pas devenir une copie plus faible de la connexion

La sécurité des comptes d'utilisateurs est souvent évaluée à la porte d'entrée: qualité du mot de passe, inscription multifacteur, détection des connexions suspectes. Le chemin de support interne se trouve à côté de cette porte. Si le support peut changer l'adresse e-mail, réinitialiser le mot de passe ou désactiver l'authentification multifacteur sur une preuve plus faible, alors le processus de support définit le niveau d'assurance réel.

Leguide OWASP sur les mots de passe oubliésrecommande des jetons de canal secondaire, une limitation de débit, une notification après réinitialisation et l'invalidation de session. Songuide de test de l'authentification multifacteursouligne le point central selon lequel une réinitialisation de l'authentification multifacteur doit être testée avec le même sérieux que le mécanisme d'authentification multifacteur lui-même. Ce sont des références générales de sécurité des applications, pas des normes juridiques spécifiques à l'incident.

Pour l'opération de récupération interne d'une plateforme mondiale, le modèle responsable est plus strict:

  • séparer l'autorité de consultation de l'autorité de modification, de sorte que la visualisation d'un compte n'implique pas la capacité de le transférer;
  • exiger un identifiant de cas lié à un objectif et enregistrer la base politique des actions sensibles;
  • obtenir une approbation indépendante pour les modifications des comptes à fort impact ou des attributs à haut risque;
  • lier l'accès des employés à un appareil géré et à un authentificateur résistant à l'hameçonnage;
  • informer le propriétaire du compte par des canaux préexistants avant ou immédiatement après une modification;
  • révoquer ou examiner les sessions existantes lorsque les attributs d'identité changent;
  • restreindre temporairement les comportements inhabituellement risqués après une récupération assistée par le support;
  • corréler en temps réel les modifications entre les comptes, les employés, les destinations et les modèles de messages;
  • conserver des preuves d'audit infalsifiables visibles par une équipe de surveillance séparée de l'opérateur;
  • donner aux exceptions d'urgence un chemin explicite et journalisé plutôt qu'une discrétion informelle.

Cette conception ralentira certains cas légitimes. Ce coût doit être mesuré par rapport à l'autorité en jeu. Twitter a déclaré que plus de 1 000 employés avaient accès aux outils internes pour la maintenance des comptes, l'examen du contenu et les tâches connexes. Le NYDFS a conclu que l'accès était trop large pour le risque et a noté que Twitter l'a réduit après l'incident même si le travail a ralenti. Le compromis n'est pas entre l'accès zéro et le support instantané.

Il s'agit de répartir des capacités étroites pour que les tâches courantes restent efficaces tandis que les actions rares de transfert d'identité nécessitent davantage de preuves.

La surveillance devait comprendre des séquences, pas des actions isolées

Aucun événement unique n'a nécessairement semblé décisif. Une connexion a réussi avec l'authentification multifacteur. Une page interne a été ouverte. L'e-mail d'un compte a changé. Une archive a été demandée. Un compte récupéré a publié une adresse bitcoin. Chaque action pouvait avoir une explication légitime isolément.

La séquence était extraordinaire. Plusieurs employés ont reçu des appels similaires. Une identité a exploré les systèmes internes. Plusieurs comptes de grande valeur ont changé de contrôle. Des messages similaires sont apparus sur des comptes de premier plan. Des archives ont été demandées à une échelle inhabituelle. Une même adresse de destination est revenue. Un programme de surveillance efficace devait corréler les événements d'identité, de cas de support, d'action administrative, de contenu et de réseau assez rapidement pour arrêter la chaîne avant que la phase publique ne mûrisse.

Le NYDFS a constaté que certains employés ont signalé des appels suspects et que l'équipe d'incident de Twitter enquêtait avant que les prises de contrôle des sociétés de cryptomonnaies ne commencent. Il a également conclu qu'une surveillance plus forte aurait pu détecter une activité anormale plus près du temps réel ou mettre fin aux sessions risquées. Cette conclusion ne divulgue pas quelles alertes existaient, quels seuils se sont déclenchés, qui les a vues, ou pourquoi des actions particulières se sont poursuivies. Elle étaye une lacune de contrôle sans fournir une chronologie complète des alertes.

La surveillance des actions privilégiées nécessite plus que la conservation des journaux pour une enquête ultérieure. Un contrôle de haute qualité répondrait:

  • Combien de modifications d'e-mail, de mot de passe et d'authentification multifacteur un employé peut-il effectuer dans un intervalle défini?
  • Les comptes affectés sont-ils sans rapport avec la file d'attente, la géographie ou la fonction assignée de l'employé?
  • L'action a-t-elle été précédée d'un nouvel appareil, d'un chemin réseau inhabituel ou d'une récupération récente d'identifiants?
  • L'employé a-t-il accédé à de la documentation interne en dehors des schémas de rôle normaux?
  • Plusieurs comptes récupérés ont-ils immédiatement publié la même adresse financière ou formulation?
  • Des archives de données ont-elles été demandées sans processus initié par l'utilisateur correspondant?
  • La surveillance peut-elle suspendre la transaction sans dépendre de l'opérateur éventuellement compromis?

L'objectif n'est pas de profiler un employé comme coupable. Une identité compromise et un initié malveillant peuvent produire des actions techniques similaires. Les contrôles devraient protéger l'employé ainsi que la plateforme en interceptant l'exercice de l'autorité en dehors du contexte attendu.

Les décisions antérieures de la FTC aiguisent la question de la gouvernance

Twitter est entré en juillet 2020 avec un historique réglementaire inhabituellement pertinent. En 2010, la Federal Trade Commission a allégué que des défaillances de sécurité avaient permis à des intrus en 2009 d'obtenir un contrôle administratif, d'accéder à des informations non publiques, de réinitialiser des mots de passe et d'envoyer des tweets non autorisés. Laplainte de 2011 de la FTCalléguait, entre autres, une restriction insuffisante de l'accès administratif selon les besoins du poste.

Ladécision et l'ordonnance de 2011qui en ont résulté ne constituaient pas l'admission par Twitter que les violations de la loi alléguées s'étaient produites. Elles imposaient des obligations. Il était interdit à Twitter de déformer la protection des informations non publiques des consommateurs et il était tenu de maintenir un programme complet de sécurité de l'information écrit. L'ordonnance appelait expressément à une évaluation des risques couvrant la formation et la gestion des employés, la conception du système, et la prévention, la détection et la réponse aux attaques, intrusions, prises de contrôle de comptes et contrôles administratifs non autorisés. Elle exigeait également des évaluations indépendantes selon un calendrier spécifié.

Cet historique ne prouve pas que l'incident de juillet 2020 ait violé l'ordonnance de la FTC. Les sources publiques examinées ici ne contiennent pas de constatation de la FTC selon laquelle la prise de contrôle elle-même a violé le décret, et les rapports d'évaluation indépendants n'ont pas été publiés avec le dossier de l'incident. Cela rend plusieurs questions incontournables: comment le programme a-t-il évalué l'autorité des outils de support; qu'ont dit les évaluations sur l'accès administratif; comment les changements du travail à distance ont-ils été testés; et quelles preuves sont parvenues à la haute direction?

Une action distincte de la FTC et du DOJ annoncée en 2022 concernait l'utilisation par Twitter des numéros de téléphone et des adresses e-mail collectés à des fins de sécurité pour de la publicité ciblée entre 2014 et 2019. Ledossier de l'affaire FTCetl'annonce de règlement du DOJdécrivent une amende civile de 150 millions de dollars et des exigences de programme supplémentaires. Cette affaire n'a pas jugé la prise de contrôle de juillet 2020. Elle figure dans le dossier de responsabilité parce qu'elle montre que l'ordonnance préexistante avait une force continue et que les données de contact de sécurité et de récupération se trouvaient à la fois dans le système de protection et dans les activités publicitaires.

La chronologie est importante. Le dépôt annuel 2020 de Twitter indiquait qu'il avait reçu un projet de plainte de la FTC le 28 juillet, moins de deux semaines après le piratage, mais la plainte concernait la pratique antérieure des données de contact. Combiner les deux questions en une seule violation alléguée serait inexact. Les garder séparées révèle un problème de gouvernance plus large: la sécurité des comptes n'était pas une fonction technique secondaire.

Elle impliquait des privilèges administratifs, les communications avec les utilisateurs, les données personnelles, les incitations publicitaires, les promesses réglementaires et les risques au niveau du conseil d'administration.

La responsabilité pénale a été répartie entre les juridictions

Les premières accusations fédérales sont arrivées rapidement. Le 31 juillet 2020, le Department of Justice aannoncé des plaintes contre Mason Sheppard et Nima Fazeliet a déclaré qu'une affaire concernant un mineur avait été renvoyée au procureur de l'État à Tampa. Le communiqué était explicite sur le fait que les allégations de la plainte n'étaient pas des preuves et que les accusés étaient présumés innocents jusqu'à preuve du contraire.

La Floride a ensuite poursuivi Graham Ivan Clark devant un tribunal d'État. Unrapport de WUSF sur le plaidoyer et la peine, s'appuyant sur l'annonce du procureur de l'État du comté de Hillsborough et l'audience, a rapporté que Clark avait plaidé coupable et avait été condamné à trois ans dans un établissement pour mineurs suivis de trois ans de probation dans le cadre du dispositif pour jeunes délinquants de Floride. Le résultat a établi la responsabilité pénale individuelle de Clark; il n'a pas résolu les responsabilités de contrôle de l'entreprise Twitter.

Joseph James O'Connor, un citoyen britannique extradé d'Espagne,a plaidé coupable en mai 2023à des accusations couvrant plusieurs stratagèmes, y compris sa participation à la conspiration de Twitter. Le Department of Justice a déclaré que les co-conspirateurs avaient utilisé l'ingénierie sociale pour atteindre les outils administratifs de Twitter, transféré le contrôle de comptes, utilisé certains pour la fraude et vendu les autres. En juin 2023, O'Connor a étécondamné à cinq ans de prison fédéralepour un groupe plus large d'infractions, la conduite sur Twitter faisant partie de l'affaire.

Ces dossiers doivent être lus accusé par accusé. Les plaintes initiales contre Sheppard et Fazeli étaient des allégations. Le plaidoyer de Clark et celui d'O'Connor étayent des conclusions ultérieures sur leur propre conduite admise. La peine de cinq ans d'O'Connor couvrait également le SIM swapping, d'autres prises de contrôle de plateformes, l'extorsion, le harcèlement et les menaces; elle ne peut pas être entièrement attribuée à l'incident de Twitter. Le silence public sur le sort ultérieur d'une personne nommée ne doit pas être converti en culpabilité ou en acquittement.

Les poursuites pénales ont répondu à la question de savoir qui pouvait être puni pour l'accès non autorisé et la fraude lorsque les preuves étayaient une affaire. Elles n'ont pas répondu à la question de savoir si l'architecture d'accès de la plateforme était proportionnée, si la remédiation a comblé toutes les lacunes ou si les utilisateurs ont reçu une réparation complète. La responsabilité de l'entreprise et la responsabilité des délinquants peuvent coexister sans être des substituts.

Ce que le dossier public ne peut toujours pas montrer

La confiance dans l'événement global est élevée parce que plusieurs dossiers indépendants convergent. La confiance doit devenir plus étroite à mesure que les questions deviennent plus techniques.

Le dossier public ne fournit pas:

  • une liste complète des identités des employés compromis et de leurs rôles exacts;
  • le nombre d'employés appelés, le taux de réussite et la chronologie complète des appels;
  • les journaux des appareils, du VPN, du fournisseur d'identité et des applications pour chaque session;
  • chaque page interne, champ de compte et fonction d'outil consultée ou exercée;
  • le mécanisme précis utilisé pour changer l'e-mail, le mot de passe et l'état de l'authentification multifacteur de chaque compte d'utilisateur;
  • si une action nécessitait l'approbation d'un superviseur avant l'incident et comment ce contrôle a fonctionné;
  • chaque alerte générée, supprimée, escaladée ou manquée;
  • un registre d'actions par compte pour les 130 comptes ciblés;
  • la preuve des messages directs qui ont été lus ou conservés;
  • le contenu des archives et l'utilisation en aval pour chacun des sept téléchargements;
  • un registre complet des pertes des victimes distinguant les paiements authentiques, l'auto-financement des attaquants, la récupération et les mouvements ultérieurs;
  • un rapport de clôture audité indépendamment pour les engagements post-incident.

Il y a aussi une tension de formulation dans les comptes publics. Twitter a utilisé « ciblé » pour 130 comptes et a décrit la publication publique de tweets, l'accès à la boîte de réception et le téléchargement d'archives comme des sous-ensembles. Le NYDFS a parfois qualifié les 130 de compromis. L'interprétation la plus sûre est de conserver le terme de la source, puis d'énoncer les chiffres spécifiques à l'action. Les preuves publiques ne justifient pas de dire que les attaquants ont pleinement contrôlé et utilisé chacun des 130 de la même manière.

Des captures d'écran des outils internes ont circulé pendant l'événement, et des reportages fiables tels quel'analyse du marché des comptes par KrebsOnSecurityont aidé à documenter l'économie des comptes OG et les intermédiaires. Les captures d'écran ne sont pas un diagramme d'architecture complet. Les étiquettes d'interface peuvent révéler des champs et des capacités, mais elles ne prouvent pas les limites d'autorisation du backend, la journalisation ou l'état de chaque contrôle.

Twitter a délibérément limité les détails de la remédiation pour protéger leur efficacité, un choix raisonnable de réponse aux incidents. Avec le temps, la responsabilité exige toujours des preuves qui distinguent une cause racine corrigée d'une promesse. Les descriptions publiques des clés de sécurité, de la réduction des accès, de la formation, des exercices, d'un nouveau RSSI et de l'amélioration de la surveillance montrent une direction. Elles ne montrent pas la couverture, les exceptions, les résultats des tests ou si un transfert similaire échouerait.

La responsabilité suit le contrôle sur la capacité défaillante

L'attribution la plus claire est fonctionnelle.

ActeurContrôlés avant ou pendant l'événementPreuves ou actions de responsabilité
Délinquants et intermédiairesAppels, infrastructure d'hameçonnage, utilisation d'identifiants, reconnaissance interne, vente de comptes, messages frauduleux, destinations bitcoin et mouvement de fonds.Enquête pénale, poursuites, confiscation, restitution aux victimes lorsque cela est ordonné, et conservation des preuves des appareils et des communications.
Équipes de sécurité et d'identité de TwitterAuthentification des employés, appareils gérés, accès réseau, autorisation des outils, contrôles de session, surveillance et réponse aux incidents.Démontrer un accès résistant à l'hameçonnage, le moindre privilège, la recertification des rôles, une surveillance sensible aux séquences, un confinement testé et une auditabilité complète des actions privilégiées.
Opérations de support, de confiance et juridiques de TwitterBesoin métier pour les outils internes, processus de cas, modifications de comptes, contrôles de contenu et traitement des demandes légales.Séparer le support de routine de l'autorité de transfert d'identité, exiger un objectif et une approbation, et maintenir des chemins d'urgence sans privilège universel.
Dirigeants et conseil d'administration de TwitterLeadership en sécurité, appétit pour le risque, ressources, gestion du changement du travail à distance, conformité réglementaire et supervision de la remédiation.Recevoir des indicateurs utiles à la décision, remettre en question l'autorité concentrée, vérifier la clôture et traiter la continuité des communications comme un risque d'entreprise.
Propriétaires de comptesLeurs propres identifiants, accès du personnel, outils tiers autorisés et canaux de communication de secours.Utiliser une authentification forte, minimiser les délégués, pré-publier des canaux alternatifs, surveiller les publications et répéter une répudiation rapide. Ils ne peuvent pas contrôler la console interne de Twitter.
Entreprises de cryptomonnaiesContrôles des transactions clients, filtrage des destinations, friction des transferts, alertes et réponse à la fraude.Étiqueter et bloquer rapidement les adresses d'escroquerie connues, partager des renseignements, conserver des preuves et communiquer clairement sans prétendre que chaque transfert est réversible.
Régulateurs et forces de l'ordreDemandes de supervision, procédure légale, coordination entre entreprises, enquête pénale et conclusions publiques dans leur juridiction.Préserver les distinctions entre allégation et constatation, coordonner rapidement au-delà des frontières et rechercher des preuves proportionnées à l'autorité à l'échelle de la plateforme.
Destinataires des messagesCliquer, envoyer des fonds et vérifier de manière indépendante.Appliquer le scepticisme aux rendements impossibles et vérifier via un autre canal, tout en reconnaissant que la plateforme a fourni un signal d'authenticité corrompu.

Cette attribution rejette deux conclusions simplistes. La première est que les utilisateurs étaient responsables parce que l'offre était manifestement frauduleuse. Certains l'ont reconnue; d'autres non. La loi sur la fraude et la conception de la sécurité existent parce que les gens agissent sur des représentations de confiance. La seconde est que Twitter était seul responsable de chaque transfert de bitcoin. Les délinquants ont conçu et exécuté la fraude, et les intermédiaires de paiement et les utilisateurs avaient différentes opportunités de l'interrompre.

La responsabilité distinctive de Twitter était celle qu'aucun autre acteur ne pouvait assumer: contraindre et observer l'autorité interne qui transférait les voix de confiance.

Les preuves qu'une plateforme responsable devrait être en mesure de produire

La leçon durable n'est pas « faites plus de formation » ou « utilisez des clés matérielles », bien que les deux puissent avoir de l'importance. C'est de rendre l'autorité administrative à fort impact mesurable. Une plateforme d'importance publique comparable devrait être en mesure de produire un registre de contrôle répondant aux questions suivantes sans exposer de détails qui aideraient un attaquant:

Autorité:Combien de personnes et de comptes de service peuvent consulter les données de compte non publiques, modifier les attributs de contact, réinitialiser les mots de passe, modifier l'authentification multifacteur, demander des archives, publier au nom des utilisateurs ou supprimer du contenu? Combien peuvent combiner deux ou plus de ces fonctions?

Objectif:Chaque action privilégiée est-elle liée à un cas, une base politique et un rôle autorisé? Un opérateur peut-il rechercher des comptes de premier plan arbitraires sans raison professionnelle? Les droits d'accès sont-ils recertifiés lorsque les postes changent?

Preuve:Quelles preuves sont requises avant un transfert assisté par le support? Les preuves sont-elles indépendantes du contact entrant? La norme augmente-t-elle pour les comptes gouvernementaux, d'urgence, financiers, médiatiques et de très grande envergure?

Approbation:Quelles actions nécessitent l'accord de deux personnes ou d'un service séparé? Le deuxième approbateur peut-il voir les preuves originales plutôt que de simplement accepter une demande d'approbation?

Détection:Quel est le délai de détection pour les modifications de compte inhabituelles, les demandes d'archives en masse, les accès répétés à des comptes de premier plan non liés ou les destinations financières communes? La surveillance peut-elle mettre fin à une session automatiquement?

Confinement:Quelles fonctions peuvent être retirées indépendamment? Les intervenants peuvent-ils préserver la communication de sécurité publique tout en gelant les actions de récupération à risque? Les canaux de statut sont-ils contrôlés en dehors de la limite d'identité suspecte?

Continuité:Qu'utilisent les institutions publiques et les clients à fort impact lorsque la publication normale est indisponible? Le plan de repli a-t-il été authentifié auprès du public à l'avance?

Preuves:Les journaux sont-ils suffisamment complets pour reconstituer qui a consulté, modifié, approuvé et exporté quoi? Sont-ils protégés du même administrateur dont ils enregistrent les actions? Combien de temps sont-ils conservés?

Remédiation:Qui vérifie que les réductions d'accès, le déploiement des clés de sécurité, les règles de surveillance et les changements de processus fonctionnent? Quelles exceptions subsistent? Quand a eu lieu le dernier exercice contradictoire?

Réparation:Les utilisateurs affectés peuvent-ils obtenir un historique d'actions compréhensible, restaurer le contrôle, sécuriser les sessions, comprendre l'exposition possible des données et contacter un support formé sans rejoindre la même file d'attente que les cas de routine?

Les indicateurs doivent exposer la tension entre le service et la sécurité. Le temps de support médian seul récompense la vitesse. Le nombre d'utilisateurs privilégiés seul peut récompenser une restriction aveugle. De meilleures mesures incluent les actions sensibles par rôle, le pourcentage avec approbation indépendante, les changements à haut risque bloqués ou inversés, la livraison de la notification au propriétaire, les séquences anormales détectées, les droits obsolètes supprimés, les résultats des exercices de canal d'urgence et le temps nécessaire pour fournir à un utilisateur affecté des faits fiables.

La véritable perte était l'incertitude quant à qui avait le droit de parler

La prise de contrôle de juillet 2020 a été financièrement modeste par rapport à de nombreux cyberincidents ultérieurs. Son importance est venue de l'autorité atteinte. Un outil de support derrière un service cloud pouvait décider qui contrôlait une voix mondialement reconnue. Une fois ce processus de décision subverti, les signaux de confiance les plus précieux de la plateforme ont fonctionné pour l'attaquant, et la réponse immédiate la plus sûre a été de limiter la communication légitime à travers une population beaucoup plus large.

Twitter a effectivement pris des mesures importantes: il a révoqué l'accès, restreint les outils, restauré les comptes, notifié les utilisateurs affectés, réduit les autorisations des employés, accéléré les clés de sécurité, étendu la formation et les exercices, et embauché un RSSI. Les entreprises financières ont bloqué un flux sortant tenté beaucoup plus important que le montant parvenu aux adresses de l'escroquerie. Les enquêteurs ont agi rapidement, et les plaiders ultérieurs ont établi la responsabilité de certains entités.

Ces résultats ne font pas de l'événement une réussite. Ils montrent combien d'efforts de compensation ont été nécessaires après qu'une seule surface de récupération a échoué. Les employés, les intervenants, les propriétaires de comptes, les institutions financières, les régulateurs, les forces de l'ordre et les utilisateurs ont tous absorbé des coûts créés par une autorité concentrée que seul Twitter pouvait concevoir.

La norme de responsabilité est donc simple à énoncer et difficile à satisfaire: le pouvoir de récupérer une voix doit être protégé aussi soigneusement que la voix elle-même. Pour une plateforme intégrée dans les marchés, la politique, l'information d'urgence et la réputation quotidienne, le support administratif n'est pas une commodité en coulisses. Il fait partie de l'infrastructure de communication. L'escroquerie à 118 000 $ a rendu cette infrastructure visible. Le risque sans réponse était tout ce que la même autorité aurait pu dire d'autre.

Typographie

La typographie est l'art et la technique d'agencer les caractères pour rendre le langage écrit lisible, compréhensible et visuellement attrayant. Elle implique la sélection des polices, des tailles de point, des longueurs de ligne, de l'espacement des lignes et des lettres.

  • La typographie est née avec l'invention des caractères mobiles par Johannes Gutenberg au XVe siècle.
  • Les éléments clés incluent le choix de la police, le crénage, l'approche et l'interlignage.
  • Une bonne typographie améliore la lisibilité et transmet une ambiance ou un ton dans le design.