Согласно новому сегодняшнему отчету, Twitter GodMode — внутренний инструмент, который хакеры использовали для твитов с высокопоставленных учетных записей, включая Apple, еще в 2020 году — остается доступным для всех инженеров компании.
Twitter ранее сообщал, что дыра в безопасности была устранена, но осведомитель сказал, что, помимо изменения названия инструмента с GodMode на PrivilegedMode, компания внесла только одно изменение, и это по-прежнему позволяет любому инженеру Twitter тривиально получить неконтролируемый доступ. к этому…
Дополнение
Официальная учетная запись Apple в Твиттере @Apple была одной из нескольких известных учетных записей, скомпрометированных еще в 2020 году. Другие затронутые учетные записи:
Джо Байден Джефф Безос Билл Гейтс Майк Блумберг Канье Уэст Uber Флойд Мейвезер Cash App Уоррен Баффет Барак Обама MrBeast
О, и еще одно: Илон Маск.
Взлом был тем более примечательным, что он был возможен, несмотря на то, что многие учетные записи использовали двухфакторную аутентификацию, а это означает, что доступ должен был быть невозможен даже с паролем учетной записи.
Так случилось, что хакеры просто разместили аферу с биткойнами, но возможность твитнуть абсолютно что угодно с таких громких и надежных аккаунтов могла привести к гораздо более серьезным последствиям.
Позже выяснилось, что взлом был сделан с помощью внутреннего инструмента, известного тогда как GodMode. Те, у кого есть доступ к GodMode, могут публиковать твиты буквально из любой учетной записи без необходимости аутентификации для конкретной учетной записи. GodMode также позволял удалять существующие твиты.
Twitter GodMode по-прежнему доступен для всех инженеров
Twitter впоследствии заявил, что провел расследование и предпринял шаги для решения проблемы. Однако, по словам осведомителя, единственное изменение заключалось в том, чтобы отозвать доступ к инструменту по умолчанию. Любой инженер, который хотел получить к нему доступ, должен был всего лишь изменить флаг в одной строке кода с FALSE на TRUE.
The Washington Post сообщает, что осведомитель сообщил об этом Конгрессу еще в октябре, и теперь им поделился с газетой сотрудник Конгресса.
Появился новый осведомитель в Твиттере, который поддержал прошлогодние неожиданные показания о плачевном состоянии защиты конфиденциальности компании и заявил, что компания продолжает нарушать свои юридические обязательства при новом владельце Илоне Маске.
Бывший сотрудник сообщил членам Конгресса и сотрудникам Федеральной торговой комиссии, что любой инженер Twitter может активировать внутреннюю программу, которая до недавнего времени называлась «GodMode», и отправлять твиты с любой учетной записи сегодня, через три месяца после прихода Маска к власти. […]
Новый осведомитель сказал, что после внутренних возражений по поводу программы инженеры изменили ее название на «привилегированный режим». Информатор сказал, что цель программы состояла в том, чтобы позволить сотрудникам Twitter публиковать твиты от имени рекламодателей, которые не могут сделать это сами. […]
В новой жалобе разоблачителя говорится, что код GodMode остается на ноутбуке любого инженера, который захочет его получить. Все, что им нужно будет сделать, это изменить строку кода с FALSE на TRUE и запустить ее с рабочей машины, к которой они смогут получить доступ через легкодоступный протокол связи, известный как SSH.
Информатор сказал, что не только любой инженер может внести это изменение самостоятельно, но и сотрудники службы безопасности Twitter не могут узнать, кто это сделал.
Отчет подтверждает заявления бывшего главы службы безопасности Twitter Пейтера Затко о том, что у компании были «чрезвычайные, вопиющие недостатки» в защите от хакеров.
Фото: Давиде Кантелли/Unsplash