摘要
- 控制失效的严重性远超盗窃本身。攻击者通过电话社会工程学手段获取员工凭证,学习内部流程,接触具有账户支持权限的员工,并利用 Twitter 自身工具针对 130 个账户发起攻击。Twitter 表示,攻击者使用 45 个账户发送了推文,访问了 36 个账户的直接消息收件箱,并下载了 7 个账户的存档。这些是不同行为和受影响人群,并非可互换的入侵定义。
- 行政工具是公共通信的一项依赖。该工具可支持密码重置、改变账户状态、暴露联系方式和登录信息,以及协助从合法所有者转移控制权。一旦该权限被滥用,真实的账户徽章、粉丝图谱和发布历史都可能成为他人声明的分发基础设施。Twitter 随后进行的遏制措施阻止了许多合法已验证账户发送推文或更改密码,包括试图进行通信的公共机构。
- 可见的骗局财务上微不足道,但操作上暴露了问题。纽约州金融服务部(NYDFS)估算被盗比特币价值约 11.8 万美元。其受监管的机构报告拦截了价值约 134.7 万美元的企图转账,与此同时,少数客户在拦截生效前损失了约 2.2 万美元。这一对比显示了为弥补上游造成的信任失败,下游控制必须有多快。
- 责任是并存的,而非等同的。犯罪者控制着欺骗、非授权访问、账户出售、欺诈信息和盗窃。Twitter 控制着支持权限的范围、认证、访问复审、监控、高风险审批、遏制、恢复和公开报告。账户持有者和金融平台可以减少下游损失,但他们无法设计或审计 Twitter 的内部控制台。
- 公开记录对攻击路径和影响提供了高置信度,但无法做到完整的司法取证重建。NYDFS、Twitter、刑事起诉、随后的认罪、区块链分析和公司申报文件都围绕主要序列形成共识。但它们未披露完整的认证轨迹、每一项特权操作、每个受损员工的确切权限、所有会话证据、检测警报或每项补救措施的独立收尾证据。
恢复界面是公共广场的一部分
从外部看,社交网络像一个发布服务。用户登录、撰写消息,并分发给粉丝。在这一简单动作背后,是一个普通用户从未见过的更强大的服务:用于恢复账户、更改关联邮箱、重置密码、禁用多因素认证、调查滥用行为、执行规则、响应法律要求,以及在合法所有者被锁定后恢复访问的机制。
这些机制不可或缺。人们丢失设备,公司更换员工,账户也可能被误暂停。然而,每一项恢复能力也是另一个认证系统。如果员工决定请求者有权获得账户,那么他行使的是身份权威,而不仅仅是提供客户服务。
纽约州金融服务部(NYDFS)的调查将 Twitter 的内部工具描述为可暴露非公开账户信息,包括关联的邮箱地址、电话号码和登录 IP 地址。获得授权的员工可以使用这些工具更新邮箱地址、重置密码,以及启用或禁用多因素认证。某些工具还支持内容执法和响应法律请求。这构成了一个集身份、隐私、言论和机构合规于一体的界面。
到 2020 年 7 月 15 日,这一内部界面成为了以巴拉克·奥巴马、乔·拜登、埃隆·马斯克、比尔·盖茨、苹果、优步、加密货币交易所以及其他高知名度账户拥有者身份发言的途径。欺诈行为无需建立受众或从零开始模仿账户,它直接继承了真实账户的名称、历史、认证标志和粉丝。该服务自身的真实性表征提供了说服力。
因此,小额盗窃金额可能产生误导。大约 11.8 万美元对损失者来说是物质性的,但这并非事件的上限。它只是一个小组在一个匆忙的骗局中,在一个下午、在遏制之前的产物。对全球通信服务的行政访问权限具有更大的期权价值。它可能被用于发布虚假的公司披露、操纵证券价格、捏造公共安全消息、在危机期间压制合法账户、泄露私人通信,或在选举期间注入政治声明。
这些反事实不应被转变成此类伤害已发生的断言。它们解释了为什么控制设计必须与权限成比例,而不是与观察到的案件中被盗价值成比例。美国证券交易委员会(SEC)早就警告,虚假声明可通过社交媒体在投资操纵计划中传播,包括Twitter 上的拉高抛售炒作。NYDFS 还引述了 2013 年美联社账户被接管的事件,在那次事件中,一则虚假的白宫爆炸推文后,市场价值快速且暂时地蒸发。Twitter 不仅仅在承载对话,它在传递声明,而自动化系统、投资者、记者、官员和公众可能据此采取行动。
一场持续一天的攻击经历了三个商业阶段
最清晰的公开重建是 NYDFS 2020 年 10 月的报告,该报告基于传票、访谈、文件和受监管加密货币公司的调查。Twitter 自身的安全事件更新提供了公司的数据计数和定性。刑事起诉文书增加了关于账户销售和比特币踪迹的证据,但投诉中的指控除非后来承认或被证实,否则必须仅视为指控。
该事件并非一场无差别的“黑客攻击”,而是一个序列,其中一种类型的访问使下一种类型变得更便宜。
| 美国东部时间 | 事件 | 问责意义 |
|---|---|---|
| 下午,7 月 14 日 | 来电者冒充公司 IT 服务台,称存在 VPN 问题,联系了数名 Twitter 员工。 | 一个熟悉的远程工作问题使借口显得合理。对内部支持流程的信任成为入口表面。 |
| 7 月 14-15 日 | 员工被引导至一个仿冒的 VPN 页面。攻击者将捕获的凭证输入真实服务,产生了多因素认证审批请求,部分员工接受了该请求。 | 密码和推送审批被一起通过实时中继击败。MFA 存在,但该事务无法抵御验证器冒充。 |
| 凌晨,7 月 15 日 | 初始员工访问被用于浏览内部站点,并了解其他应用程序和账户支持流程的工作方式。 | 第一名受感染身份据称缺少最终的账户管理权限。内部知识降低了选择更高权限目标的成本。 |
| 大约凌晨 3:00 至上午 10:00,7 月 15 日 | 参与者讨论了拿走并出售令人垂涎的短号或“OG”账户名。 | 第一种变现模式是批发账户转移,而非大规模欺诈。稀缺用户名的市场赋予了行政访问立即可见的转售价值。 |
| 下午 2:00 前夕 | 被劫持的 OG 账户发布了内部工具的截图。 | 对特权访问的公开证据在事件进行中展示了能力并暴露了运营信息。 |
| 下午 2:16 时起 | 一个加密货币交易员的账户被用来发送直接消息,推销比特币。 | 在大规模公共活动开始前,私下接触测试了被窃取的权限。 |
| 下午 3:18 | 加密货币公司接管行动开始。Twitter 的事件响应人员已经在调查可疑来电和登录。 | 在公共阶段之前或期间存在内部警告,但攻击者仍保留了足够的权限以升级行动。 |
| 下午 3:26 - 4:12 | 十个与加密货币相关的账户被劫持,并发布了变种“加倍返还”提议。 | 在真实账户间的重复行为制造了表面上的佐证,并扩大了受众范围。 |
| 下午 4:17 - 6:05 | 高知名度的政治、科技、娱乐和商业账户发送了诈骗信息,部分多次发送。 | 活动从一个细分账户市场升级为对机构和人际信任的全球性滥用。 |
| 下午 5:45 | Twitter 公开承认了安全事件。 | 首次广泛的平台确认发生在加密货币账户阶段开始超过两小时之后。 |
| 下午 6:18 时起 | Twitter 限制了许多已验证账户发推或更改密码,并锁定了部分最近更改过的账户。 | 遏制措施通过剥夺合法通信能力来降低攻击者能力。 |
| 下午 6:59 | NYDFS 指示其受监管的加密货币公司(如果尚未执行)封堵已发布的地址。 | 一个行业监管机构和金融中介成为了社交平台事件控制回路的一部分。 |
| 下午 8:41 | Twitter 表示大多数账户可以恢复发推,但功能可能不一致。 | 广泛的发布能力在每一项账户支持和取证后果解决之前就已恢复。 |
这一序列否定了这样一个不准确的故事:一名拥有通用访问权限的员工被欺骗一次,然后名人账户立即发布了诈骗信息。NYDFS 发现首个被感染的员工缺少所需的账户管理访问权限。入侵者利用该立足点学习内部流程,然后锁定拥有更相关权限的员工。Twitter 同样表示最初被针对的员工并不都拥有账户管理权限。
这是通过组织知识进行的横向移动。内部文档、应用程序名称、角色描述和支持流程都可以成为权限启用数据,即使初始身份无法执行最终操作。最小权限制度减缓了攻击者,但并未遏制他们,因为初始身份仍然可以接触到对选择和欺骗下一个人有用的信息。
员工欺骗、工具访问、接管和欺诈是不同的行为
良好的问责从动词开始。发生了四件不同的事情,每件事情都有不同的控制所有者和证据轨迹。
首先,员工遭受了社会工程学攻击。NYDFS 发现来电者冒充内部 IT,提及远程工作期间常见的 VPN 问题,使用个人信息来增强可信度,并引导员工到一个仿冒的登录页面。该报告未发现任何证据表明员工是知情协助。将此称为“内部作案”会与这一发现矛盾。仅称之为“人为错误”则忽略了这样一个系统:一通来电、一套可重用的凭证和一次批准的推送就足以进入网络。
其次,员工身份触达了内部系统。初始账户提供了通往内网信息的途径。随后被感染的凭证提供了对账户支持工具的访问。内部网络访问不等于所有行政功能访问,二者都不等于用户账户的所有权。这一区别在评估访问分段时至关重要。
第三,支持权限被用于转移或行使账户控制。Twitter 表示,对于 45 个账户,攻击者能够发起密码重置、登录并发布推文。联邦针对 Nima Fazeli 的刑事投诉和支持宣誓书指控存在一个市场,其中一名行为者展示了内部面板访问权,并利用中间人出售对理想用户名的控制权。后来涉及 Joseph O'Connor 的诉讼程序描述了未经授权的账户访问被购买以及账户被从合法所有者转移的情况。那是一种作为服务的身份盗窃,并以内部工具为库存。
第四,部分受控账户传播了欺诈信息。虚假承诺表示若发送比特币,将返还双倍。账户是真实的,但提议并非如此。欺诈性推文利用了来源真实性与消息真实性之间的差距。一个已认证的标记可以表明 Twitter 已将账户与某一公众人物或组织关联起来,但它不能证明在内部身份系统被颠覆后,授权所有者撰写了某条特定消息。
这四个阶段暗示着四项独立的控制测试:
- 来电者能否令人信服地冒充服务台并中继员工登录?
- 一个新认证的员工身份能学到或触达什么?
- 更改一个高影响力账户的控制权需要哪些额外的凭证和审批?
- 当许多知名账户改变状态并发布相似的金融推销信息时,有哪些异常检测或交易摩擦措施?
培训与第一个问题相关,但它不是对另外三个问题的完整答案。
事件计数衡量了不同类型的伤害
Twitter 最终的公开数字是:130 个目标账户,45 个账户被用于发送推文,36 个账户的直接消息收件箱被访问,7 个账户的 Twitter Data 被下载。公司较早的报告提到最多有八个下载;后来的更新将数字修订为七个。NYDFS 报告称,内部工具为另外 52 个账户生成了数据请求,但这些账户的数据未被下载。
这些数字不应简单相加,因为各组可能有重叠。也不应将 130 描述为比特币骗局中使用了 130 个账户。在广泛的事件级别上,“目标”或“被入侵”包括了超出公开推文的范围。现有证据支持以下几类伤害:
| 伤害类别 | 公开证据 | 不能确定的事项 |
|---|---|---|
| 失去账户控制 | 一部分账户的状态被更改,45 个账户被用于发推。 | 每个账户的确切持续时长、操作序列和恢复成本。 |
| 非授权公开发言 | 从真实账户发布了欺诈信息,部分不止一次。 | 是否每个粉丝都看到、相信某条消息或依据其采取了行动。 |
| 私有消息泄露 | Twitter 称 36 个账户的收件箱被访问。 | 在缺少完整日志和攻击者证据的情况下,具体哪些单独消息被阅读、复制、拍照或保留。 |
| 账户存档提取 | 7 个账户的数据存档被下载;无一属于已验证账户。 | 每个存档中的每个字段随后被使用或披露。 |
| 非公开支持工具暴露 | 内部视图包括账户联系信息和登录信息。 | 每个目标账户被查看的完整字段集,或是否截取了屏幕截图。 |
| 直接财务损失 | NYDFS 估算被盗比特币总计约为 11.8 万美元;受监管公司报告称在其拦截生效前客户损失约 2.2 万美元。 | 每个汇款人的身份和具体情况、攻击者是否通过自融资金夸大了收款总额、或对每个受害者的最终追偿。 |
| 服务限制 | 在遏制期间,许多已验证账户无法发推或更改密码;之后的账户支持速度放缓。 | 一份完整的被延迟公开消息的全球清单或每次中断的经济价值。 |
| 信任和声誉损失 | Twitter 的年报承认了可能丧失信心、面临监管风险以及对受影响账户的危害。 | 一个仅因此事件引起的精确因果量。 |
收件箱访问与存档下载之间的区别尤其重要。直接消息收件箱可以在账户内部查看。数据存档是一个生成的包含更广泛账户信息集合的包。NYDFS 将存档内容描述为可能包括个人资料信息、推文、消息及附件媒体、粉丝和关注列表、通信录数据、推断的人口统计信息以及广告互动信息。一次请求不等于一次下载,一次下载也不等于已利用所有包含的记录。
Twitter 表示,它直接与受影响的账户所有者进行了沟通,并为被锁定的人恢复了访问。其2020 年 Form 10-K承认,来自被入侵账户的非授权通信可能损害人身安全、声誉和品牌,且七月事件可能带来法律、财务和信任后果。证券风险披露不是独立的取证发现。它之所以有用,是因为它表明公司自身也认识到损害超出了比特币收款地址本身。
滥用联系的经济学有利于来电者
这次攻击精确地展示了滥用联系的经济学。支持组织旨在为合法用户减少摩擦。它集中专业知识,为员工提供工具,文档化流程,并衡量案件是否解决。这些特性降低了服务成本。但如果攻击者能够低成本地发起重复联系,从部分失败中收集信息,并最终接触到其决策具有巨大权威的人,那么这些特性也可能降低滥用的边际成本。
攻击者不需要一个此前未知的软件漏洞。他们需要准备、有说服力的话术、一个仿冒站点、员工细节信息,以及足够的尝试。一次失败的来电成本极低。一次成功的来电产生一个凭证。一个没有最终权限的凭证仍能产生内部侦察。侦察进而识别出另一名员工。一条通往支持工具的成功路径随后支撑了许多次账户接管和数种变现策略。
这造成了严重的不对称性:
- 攻击者可以致电许多人,而每位员工经历的只是一次看似普通的支持互动;
- 攻击者从拒绝中学习,而员工可能看不到这些来电构成了一场活动;
- 来电者选择时间和借口,而员工可能正在处理一个真实的远程工作问题;
- 公司承担所有因使每个合法支持案件变得缓慢而产生的误报成本;
- 一次错误的审批可能创造价值远超所有失败来电成本的访问权限;
- 下游损失分布在账户所有者、消息接收者、金融机构、公共机构、响应者和平台之间。
支持功能仍需继续运作。Twitter 需要改变其得失结果。高风险恢复应当要求那些无法从公共资料获取或同一通电话中索取到的证据。一个恢复的身份不应立即获得之前的所有权限。敏感变更应产生独立的通知,并且,针对最高影响力的账户,需要第二人授权或延迟。重复尝试应在员工之间进行关联分析。
同样的逻辑也适用于事件之后。限制工具减少了攻击者的机会,但也使 Twitter 回应合法的账户支持、滥用报告和开发者请求变得更慢。安全摩擦被大规模重新引入,因为它在被入侵之前没有得到足够的选择性应用。成本从风险行为转移到了每个等待帮助的用户身上。
一个小骗局产生了更大的企图支付流
区块链记录使事件的一部分异常可见。一周后 Chainalysis 的审查发现,三个宣传地址收到了 13.14 比特币,当时价值约 12 万美元。它还评估认为大约 2 万美元来自一个可疑地址,很可能由攻击者控制,这是一种常见的让骗局显得活跃的手法。这一分析意味着毛收入并不必然等同于受害人损失。NYDFS 采用了约 11.8 万美元作为被盗金额。
联邦起诉书描述了数百笔转入主要地址的交易以及资金的快速移动。公开的区块链使目的和移动可观察,但归因仍需调查工作、服务记录、通讯以及法律程序。“可追踪”并不意味自动可逆。比特币转账一旦确认,并不提供某些消费者支付系统中可用的撤单路径。
NYDFS 的调查提供了一个更具启示性的对比。四家受监管公司报告称积极拦截了约 134.7 万美元的客户企图向诈骗地址的转账:
- Coinbase 拦截了大约 5,670 笔企图转账,价值约 129.4 万美元。
- Square 拦截了 358 笔转账,价值约 5.1 万美元。
- Gemini 拦截了 2 笔,价值约 1,800 美元。
- Bitstamp 拦截了 1 笔,价值约 250 美元。
Gemini、Square 和 Coinbase 告知监管机构,有少数客户在拦截生效前转移了约 2.2 万美元。NYDFS 描述称,这些是受访受监管公司中唯一报告的客户损失。这些价值并非一份完整的全球受害者清单,拦截总额也不是被盗资金,而是特定公司报告的得以阻止的企图提款。
这些数字揭示了一条依赖链。Twitter 控制着一个可信账户能否分发欺诈地址。加密货币公司在地址被识别后,控制着其服务上的客户能否向该地址汇款。客户控制着是否发起支付,但他们在故意伪造的源头信号下做出选择。NYDFS 控制着对其受监管公司的监督通信。执法机构和数据分析公司协助标记和追踪地址。
这些公司并未修复 Twitter。它们通过应用目的地情报和交易控制在另一个层面进行补偿。一个能够看到已知诈骗地址的金融中介机构在阻断中扮演了角色,但不控制 Twitter 的访问设计。用户应当怀疑“加倍返还”提议,但不控制该提议所来源的真实账户。并存的义务并未抹去那个对失败能力拥有排他控制权的一方。
遏制使合法发言者沉默
Twitter 面临一个困难的事件响应问题。起初,它不知道哪些员工会话或工具可以信任。继续正常运作有导致更多接管的风险。限制访问则会阻碍那些试图调查和恢复服务的人员。公司选择了广泛的控制措施:它撤销或限制了员工对内部系统的访问,限制了许多已验证账户发送推文或更改密码,并锁定了最近更改过密码的账户。
作为遏制措施,该决定具有可辩护性。但这也是一种服务中断。NYDFS 报告称公共机构无法访问他们的账户,包括其自身的账户。WIRED 对 Twitter 响应的重建提到,国家气象局无法通过其账户发布龙卷风预警。
这正是此案核心的云服务依赖性。一个组织可以编写自己的消息并控制自己的员工,但如果它依赖托管的社交平台来触达公众,其发布能力则取决于提供者的身份和事件控制。客户无法在几分钟内将一个账户的粉丝、历史和认证背景故障转移给第二家提供商。一个备用网站、邮件列表、警报服务或第二个社交渠道可以承载信息,但不一定能触达同一受众或具有相同的社会证明力。
因此,遏制权衡应被视为一项连续性要求,而不仅仅是一个安全决策。一个承载着公共安全和机构通信的平台,应能在事件发生前至少回答四个问题:
- 能否在不让所有可信发布者沉默的情况下暂停高风险行政操作?
- 应急或公共利益类账户能否通过一条单独保护的路径继续运作?
- 如果平台自身的账户和员工身份可疑,能否通过一个独立控制的渠道传达事件状态?
- 机构能否引导受众使用一个在危机前就已建立的经过认证的备用渠道?
在一个特权身份平面不可信的时候,可能不存在完美的答案。这正是其范围重要的原因。当一个行政界面既能恢复账户,又能在遏制时强制实施广泛的发言限制,那么支持工具的设计就成为韧性设计。
Twitter 表示,访问限制也减慢了账户支持、推文报告处理和开发者平台申请。恢复工作并未在诈骗推文停止时就结束。每一个被延迟的合法案件都是运营成本的一部分。有些延迟是安全遏制的代价;有些则是将许多功能集中在一个响应者不再信任的访问路径后面的后果。
认证标记认证了账户,而非时刻
这场骗局利用了一个常见的心理捷径:真实账户被默认暗示消息也是真实的。认证标记强化了这一捷径。它告诉用户,一个涉及公共利益的账户已与其代表的个人或组织关联。它并不是账户所有者对每篇帖子的加密签名。
一旦行政工具可以改变控制权,平台认证便继续证明着一个当前会话已不再遵守的身份关系。当密码、邮箱或多因素认证状态改变时,徽章并未消失。平台的信任信号和恢复系统因此被耦合:恢复决定决定了谁继承了徽章的说服价值。
这具有实际后果。高影响力的账户变更应与常规推文区别对待。平台可以在支持辅助恢复后施加一个冷静期、额外审查、显著的所有者通知、对金融推销信息的临时限制,或一个可见的状态变化。每种措施都有代价。延迟可能伤害正在遭受滥用的账户所有者。公开警告可能暴露一次敏感的恢复。内容规则可能被规避。然而,没有任何摩擦意味着一个单一的行政决定可以立即转移累积的信任。
Twitter 2020 年 9 月关于改善选举相关账户安全的帖子描述了针对指定群体的更强登录防御、密码重置保护以及对双因素认证的鼓励或要求。这些都是相关的下游保护措施,但七月事件显示,用户侧的多因素认证本身无法约束一个能够重置或更改账户状态的内部支持工具。保护一位知名用户的登录和保护员工恢复路径是独立的安全控制问题。
“使用 MFA”说法正确但不完整
被感染的员工使用了基于应用程序的多因素认证。NYDFS 发现,攻击者在员工与钓鱼网站互动期间,将捕获的凭证输入到真实的 Twitter 登录中。真实登录过程产生了一个审批请求,一些员工接受了请求。第二个因素确认了设备的持有和批准的意愿,但它未能证实在员工发起的事务中,他正在向预期的服务进行认证。
Twitter 随后表示,它加速了为员工部署防钓鱼安全密钥。其关于持续安全工作的帖子还描述了更多培训、渗透测试、情景规划、隐私审查,以及减少来自被感染凭证的非授权内部系统访问的努力。
后来的联邦指南支持了这一设计区别。NIST 解释说防钓鱼认证使用密码学绑定来防止捕获的认证材料被重放到合法服务,并特别推荐用于高权限用户。这份 2023 年的解释是一个基准,而非证明 Twitter 在 2020 年 7 月部署了什么的证据。NYDFS 独立指出,一个物理安全密钥本可以阻止它重建的中继认证路径。
即使是防钓鱼的员工登录也只能解决初始的凭证盗窃问题。它不会回答:是否太多角色能够触及高权限工具,支持操作是否需要第二批准人,恢复的账户能否立即发帖,存档生成是否异常,或者会话是否被监控。强的认证保护入口。授权、流程设计和监控决定了进入后会发生什么。
NIST 于 2020 年 8 月发布的零信任架构在此很有用,因为它拒绝仅基于网络位置的隐含信任,并要求在访问资源之前进行离散的认证和授权。应用这一原则并不需要将此事件变成一个口号。它意味着一个有效的 VPN 会话不应自动建立持续浏览每个内部流程页面或执行高风险账户变更的权利。资源的敏感性、设备状态、用户角色、交易上下文以及近期行为都应影响决策。
恢复绝不能成为登录的一个更弱副本
用户账户安全通常在前门进行评估:密码质量、多因素注册、可疑登录检测。内部支持路径就位于这扇门旁边。如果支持功能可以基于更弱的凭证更改邮箱地址、重置密码或禁用多因素认证,那么支持流程就决定了实际的保障级别。
OWASP 忘记密码指南建议使用旁路令牌、速率限制、重置后通知和会话作废。其多因素认证测试指南的核心观点是,多因素认证的重置应与多因素认证机制本身受到同等严肃的测试。这些是通用的应用安全参考,而非针对具体事件的法律标准。
对于全球平台的内部恢复操作,可问责的模式更加严格:
- 将查找权限与更改权限分开,这样查看账户并不意味有能力转移它;
- 要求带有目的约束的案件标识符,并记录敏感操作的政策依据;
- 对高影响力账户或高风险属性的变更,需获得独立批准;
- 将员工访问绑定到受管设备和防钓鱼认证器;
- 在变更前或变更后立即通过预先存在的渠道通知账户所有者;
- 当身份属性变更时,撤销或审查现有会话;
- 在支持辅助恢复后,临时限制异常高风险的后续行为;
- 实时关联账户、员工、目的地和消息模板之间的变更;
- 保留防篡改的审计证据,使其对一个与操作员分离的监控团队可见;
- 为紧急例外提供一条明确、已记录的路径,而非非正式的裁量权。
此设计将减缓一些合法案件。这一成本应与所涉及的权限相权衡。Twitter 表示,超过 1,000 名员工拥有访问内部工具进行账户维护、内容审查及相关职责的权限。NYDFS 的结论是,访问权限对风险而言过于宽泛,并指出 Twitter 在事件后减少了这些权限,尽管工作因此放缓。权衡不是零访问与即时支持,而是如何分配受限的能力,以使常规任务保持高效,同时让罕见的、转移身份的操作要求更多的证明。
监控必须理解序列,而非孤立动作
没有任何单一事件看起来一定是决定性的。一次登录通过了多因素认证且成功。一个内部页面被打开。一个账户的邮箱被更改。一个存档被请求。一个恢复的账户发布了一个比特币地址。每个动作本身都可以有合法的解释。
但整个序列是非同寻常的。若干员工接到了相似的来电。一个身份探索了内部系统。多个高价值账户变更了控制者。相似的消息出现在多个高知名度账户中。存档以异常的规模被请求。同一个目标地址反复出现。一份有效的监控计划必须足够快地关联身份、支持案件、行政操作、内容和网络事件,以便在公开阶段成熟前阻断该链条。
NYDFS 发现,部分员工报告了可疑来电,且 Twitter 的事件响应团队在加密货币公司接管行动开始前就已展开调查。它的结论还指出,更强的监控本可以更接近实时地检测到异常活动,或终止存在风险的会话。这一结论并未披露存在哪些告警、触发了哪些阈值、谁看到了它们或为何特定操作得以继续。它支持了一个控制缺口,但未提供完整的告警时间线。
监控特权操作需要的不仅是保留日志以供事后调查。一份高质量的控制方案会回答:
- 一名员工在一个定义的时间间隔内可以进行多少次账户邮箱、密码和 MFA 更改?
- 受影响的账户是否与员工的队列、地理位置或分配的功能无关?
- 操作前是否出现新设备、异常网络路径或近期凭证恢复?
- 员工是否访问了超出正常角色模式的内部文档?
- 多个恢复的账户是否立即发布了相同的金融地址或措辞?
- 是否在没有匹配的用户发起流程的情况下请求了数据存档?
- 监控能否在不依赖可能被感染的运营商的情况下,暂停该交易?
目标不是将员工描述为有罪。一个被入侵的身份和一个恶意的内部人员可能产生相似的技术动作。控制措施应保护员工以及平台,通过捕捉在预期上下文之外被行使的权限。
早期的 FTC 指令使治理问题更加尖锐
Twitter 在 2020 年 7 月时,有着一段异常相关的监管历史。2010 年,联邦贸易委员会(FTC)指控称,安全失误在 2009 年允许入侵者获得行政控制、访问非公开信息、重置密码并发送非授权推文。FTC 的2011 年投诉除其他事项外,指控未能根据工作需要充分限制行政访问。
由此产生的2011 年决策和命令并不构成 Twitter 承认所指控的法律违规行为发生。它的确施加了义务。禁止 Twitter 就非公开消费者信息的保护进行虚假陈述,并要求其维持一份全面的书面信息安全计划。该命令明确要求进行风险评估,涵盖员工培训和管理、系统设计,以及针对攻击、入侵、账户接管和非授权行政控制的预防、检测和响应。它还要求在规定的周期内进行独立评估。
这段历史不能证明 2020 年 7 月的事件违反了 FTC 的指令。此处审查的公开信源未包含 FTC 关于该接管事件本身违反其判令的认定,独立评估报告也未随事件记录一同公布。它的确使几个问题无法回避:信息安全计划是如何评估支持工具权限的;评估如何评价行政访问权;远程工作变更如何进行了测试;以及哪些证据到达了高级领导层?
2022 年宣布的另一起 FTC 和司法部(DOJ)的诉讼涉及 Twitter 在 2014 年至 2019 年间,将为安全目的收集的电话号码和邮箱地址用于定向广告。FTC 的案件记录和 DOJ 的和解公告描述了 1.5 亿美元的民事罚款和额外的计划要求。该案并未裁决 2020 年 7 月的接管事件。它被列入问责记录,因为它表明先前存在的指令具有持续效力,且安全和恢复联系数据同时处于防护系统和广告业务两者之中。
时间顺序很重要。Twitter 的 2020 年年报称其于 7 月 28 日收到了一份 FTC 投诉草案,即黑客事件发生后不到两周,但该投诉涉及更早的联系数据实践。将两者合并为一项指称的违规将是不准确的。将它们分开则揭示出一个更广泛的治理议题:账户安全不是一个技术旁支功能。它涉及行政特权、用户沟通、个人数据、广告激励、监管承诺和董事会层面的风险。
刑事责任分布在多个司法管辖区
首批联邦指控迅速到来。2020 年 7 月 31 日,司法部宣布了对 Mason Sheppard 和 Nima Fazeli 的投诉,并表示一件未成年人案件已移交坦帕的州检察官。该公告明确指出,投诉中的指控并非证据,在证明有罪前被告均被推定无罪。
佛罗里达州随后在州法院起诉了 Graham Ivan Clark。WUSF 关于认罪和判决的报道,援引了希尔斯伯勒县州检察官的公告和庭审,称 Clark 认罪并被判在青少年设施服刑三年,之后根据佛罗里达州年轻被告人框架缓刑三年。这一结果确定了 Clark 个人的刑事责任;但并未解决 Twitter 的公司控制责任。
从西班牙引渡的英国公民 Joseph James O'Connor 于 2023 年 5 月对涵盖多项计划的指控表示认罪,其中包括参与 Twitter 共谋。司法部表示,共谋者利用社会工程学手段接触 Twitter 行政工具,转移账户控制权,使用部分账户进行欺诈,并出售了其他账户。2023 年 6 月,O'Connor 因更广范围的罪行被判处五年联邦监禁,Twitter 行为构成案件的一部分。
这些记录必须逐名被告研读。对 Sheppard 和 Fazeli 的初次投诉是指控。Clark 的认罪和 O'Connor 的认罪支持了关于他们各自承认行为的后续结论。O'Connor 的五年刑期还涵盖了 SIM 卡交换、其他平台接管、勒索、跟踪和威胁;不能全部归因于 Twitter 事件。不应将对一名被指名人之后续处置的公开沉默转化为有罪或无罪的推断。
刑事起诉回答了在证据支持案件的情况下,谁可以因非授权访问和欺诈受到惩罚。它未回答平台的访问架构是否成比例,补救措施是否消除了所有缺口,或者用户是否获得了完整的补偿。公司问责和罪犯问责可以共存而不相互替代。
公开记录仍无法揭示的部分
对广泛事件的置信度很高,因为多份独立记录相互汇聚。随着问题变得更加技术化,置信度应变得更加狭窄。
公开记录未提供:
- 一份完整的受感染员工身份及其确切角色的列表;
- 被联系的员工数量、成功率以及完整的通话时间线;
- 每个会话的设备、VPN、身份提供商和应用日志;
- 被查看或行使的每一个内部页面、账户字段和工具功能;
- 更改每个用户账户的邮箱、密码和 MFA 状态所使用的确切机制;
- 在事件前是否有任何操作需要主管批准,以及该控制如何运作;
- 生成的、被压制的、被升级的或被遗漏的每一个告警;
- 一份针对所有 130 个目标账户的每账户操作台账;
- 哪些直接消息被阅读或保留的证据;
- 七次下载中每个存档的内容和后续使用;
- 一份区分真实支付、攻击者自融、追偿和后续移动的完整受害者损失台账;
- 对事件后承诺的经独立审计的收尾报告。
在公开记录中还存在措辞上的紧张关系。Twitter 对 130 个账户使用了“目标”一词,并将公开推文、收件箱访问和存档下载描述为子集。NYDFS 在某些地方将所有 130 个称为“被入侵”。最稳妥的解读是保留来源的术语,然后陈述特定行为的数字。公开证据并不足以支持声称攻击者以相同方式完全控制并使用了全部 130 个账户中的每一个。
事件期间流传着内部工具的截图,可靠的报道诸如KrebsOnSecurity 的账户市场分析帮助记录了 OG 账户经济和中介角色。截图不是完整的架构图。界面标签可以揭示字段和能力,但不能证明后端的授权边界、日志记录或每项控制的状态。
Twitter 刻意限制了补救细节的披露以保护其有效性,这是一个合理的事件响应选择。随着时间的推移,问责仍要求证据能够区分已经修复的根本原因与承诺。关于安全密钥、减少访问权限、培训、演练、新任首席信息安全官和改善监控的公开描述显示了方向。它们未显示覆盖范围、例外情况、测试结果或一次类似的转移是否会以失败告终。
问责跟随对失败能力的控制
最清晰的分配是功能性的。
| 行动者 | 事件前或期间控制内容 | 问责证据或行动 |
|---|---|---|
| 犯罪者及中介 | 来电、钓鱼基础设施、凭证使用、内部侦察、账户销售、欺诈信息、比特币目的地和资金移动。 | 刑事调查、起诉、没收、在命令下的受害者赔偿,以及设备和通信证据的保存。 |
| Twitter 安全与身份团队 | 员工认证、受管设备、网络访问、工具授权、会话控制、监控和事件响应。 | 展示防钓鱼访问、最小权限、角色再认证、序列感知监控、经测试的遏制以及完整的特权操作可审计性。 |
| Twitter 支持、信任和法律运营 | 对内部工具的业务需求、案件流程、账户变更、内容控制和法律请求处理。 | 将常规支持与身份转移权限分离,要求目的和批准,并在不赋予通用特权的情况下维持应急路径。 |
| Twitter 高管和董事会 | 安全领导、风险偏好、资源、远程工作变更管理、监管合规和补救监督。 | 接收有决策价值的指标,挑战集中的权限,验证收尾,并将通信连续性视为企业风险。 |
| 账户所有者 | 自己的凭证、员工访问、授权的第三方工具和备用通信渠道。 | 使用强认证,最小化委派权限,提前公布备用渠道,监控帖子,并演练快速否认。他们无法控制 Twitter 的内部控制台。 |
| 加密货币公司 | 客户交易控制、目的地筛查、转账摩擦、警报和欺诈响应。 | 迅速标记和阻止已知诈骗地址,共享情报,保存证据,并清晰地沟通而不声称每笔转账都可逆。 |
| 监管机构和执法部门 | 监督要求、法律程序、跨公司协调、刑事调查和在其管辖权内的公开发现。 | 保持指控与发现之间的区别,快速跨境协调,并寻求与平台范围的权限相匹配的证据。 |
| 消息接收者 | 是否点击、发送资金以及寻求独立验证。 | 对不可能的回报保持怀疑,并通过其他渠道验证,同时认识到平台提供了一个被损坏的真实性信号。 |
这一分配拒绝两种简单化的结论。其一是用户有责任,因为提议明显是欺诈性的。有些人识别出了,有些人没有。欺诈法律和安全设计之所以存在,正是因为人们会依据受信任的表征采取行动。其二是 Twitter 对每一笔比特币转账负有全部责任。犯罪分子设计并实施了欺诈,支付中介和用户在不同环节有不同的机会阻断它。Twitter 独特的责任是其他任何行动者都无法履行的:限制并观察用于转移受信任声音的内部权限。
一个负责任的平台应能生成的证据
持久的教训不是“做更多培训”或“使用硬件密钥”,尽管两者都可能很重要。而是使高影响力的行政权限可度量。一个具有可比公共重要性的平台,应能在不暴露帮助攻击者的细节的情况下,生成一份回答以下问题的控制清单:
权限:有多少人员和具有服务账户的角色可以查看非公开账户数据、更改联系属性、重置密码、更改 MFA、请求存档、代表用户发布或压制内容?有多少能组合这些功能中的两项或更多项?
目的:是否每项特权操作都关联到一个案件、政策依据和授权角色?操作员能否没有工作原因就搜索任意的知名账户?当岗位变动时,访问权限是否被重新认证?
证明:在一次支持辅助的转移之前需要哪些证据?该证据是否独立于本次入站联系?对于政府、应急、金融、媒体和超大型账户,该标准是否应提升?
批准:哪些操作需要两人或一个独立的服务同意?第二批准人能否看到原始证据,而不仅仅是接受一个批准请求?
检测:对于异常的账户变更、批量存档请求、对无关知名账户的重复访问或共同的资金目的地,适用何种检测时间?监控能否自动结束一个会话?
遏制:哪些功能可以独立撤销?响应者能否在冻结有风险的恢复操作的同时,保持公共安全通信?状态渠道是否在受怀疑的身份边界之外被控制?
连续性:当正常发布不可用时,公共机构和高影响力客户使用什么?该备用方案是否已提前向受众认证?
证据:日志是否足够完整以重建谁查看、更改、批准和导出了什么?它们是否受保护免遭其行为被日志记录的管理员本人的篡改?日志保留多久?
补救:谁验证访问削减、安全密钥部署、监控规则和流程变更正在运作?存在哪些例外?上一次对抗性演练是何时?
补偿:受影响的用户能否获得一份可理解的操作历史、恢复控制权、确保会话安全、了解可能的数据泄露,并联系到经过培训的支持人员,而无需排在与常规案件相同的队伍中?
指标应当暴露服务与安全之间的张力。单独的中位支持时间奖励速度。单独的特权用户数量可能奖励不加区分的限制。更好的衡量指标包括:按角色划分的敏感操作数量、具有独立批准的比例、被阻断或撤回的高风险变更数量、所有者通知的送达情况、被检测到的异常序列数量、被移除的过期权限数量、应急渠道演练结果以及向受影响用户提供可靠事实的时间。
真正的损失是对谁有发言权的不确定性
2020 年 7 月的接管事件与许多后来的网络事件相比,财务上规模适中。其重要性源于被触及的权限本身。云服务背后的一个支持工具可以决定谁控制着一个全球公认的声音。一旦该决策过程被颠覆,平台最有价值的信任信号便为攻击者服务,而最安全的直接响应则是限制更广泛人群的合法通信。
Twitter 确实采取了重大行动:它驱逐了访问,限制了工具,恢复了账户,通知了受影响的用户,减少了员工权限,加速部署了安全密钥,扩展了培训和演练,并聘请了首席信息安全官。金融机构阻断了一笔远比到达诈骗地址的金额大得多的企图流出资金。调查人员行动迅速,后来的认罪确定了部分参与者的责任。
这些结果并未使该事件成为一个成功故事。它们显示了在一个恢复界面失效后,需要多少补偿性努力。员工、响应者、账户所有者、金融机构、监管者、执法部门和用户都承担了由只有 Twitter 能设计的集中权限所创造的成本。
因此,问责标准易于陈述而难以满足:恢复一个声音的权力,必须像声音本身一样受到精心保护。对于一个嵌入市场、政治、应急信息和日常声誉的平台而言,行政支持并非后台便利。它是通信基础设施的一部分。那 11.8 万美元的骗局使该基础设施显现出来。尚未回应的风险是,同样的权限本可以说出的所有其他内容。
字体排印学
字体排印学是安排字体的艺术与技术,旨在使书面语言清晰易读、可阅读且具视觉吸引力。它涉及选择字体、字号、行长、行间距和字符间距。
- 字体排印学起源于 15 世纪约翰内斯·古腾堡发明活字印刷术。
- 关键要素包括字体选择、字偶距调整、字间距调整和行间距。
- 良好的字体排印学能增强可读性,并在设计中传达情绪或基调。

