Согласно новому сегодняшнему отчету, Twitter GodMode — внутренний инструмент, который хакеры использовали для твитов с высокопоставленных учетных записей, включая Apple, еще в 2020 году — остается доступным для всех инженеров компании.
Twitter ранее сообщал, что дыра в безопасности была устранена, но осведомитель сказал, что, помимо изменения названия инструмента с GodMode на PrivilegedMode, компания внесла только одно изменение, и это по-прежнему позволяет любому инженеру Twitter тривиально получить неконтролируемый доступ. к этому…
Официальная учетная запись Apple в Твиттере @Apple была одной из нескольких известных учетных записей, скомпрометированных еще в 2020 году. Другие затронутые учетные записи:
Джо Байден Джефф Безос Билл Гейтс Майк Блумберг Канье Уэст Uber Флойд Мейвезер Cash App Уоррен Баффет Барак Обама MrBeast
О, и еще одно: Илон Маск.
Взлом был тем более примечательным, что он был возможен, несмотря на то, что многие учетные записи использовали двухфакторную аутентификацию, а это означает, что доступ должен был быть невозможен даже с паролем учетной записи.
Так случилось, что хакеры просто разместили аферу с биткойнами, но возможность твитнуть абсолютно что угодно с таких громких и надежных аккаунтов могла привести к гораздо более серьезным последствиям.
Позже выяснилось, что взлом был сделан с помощью внутреннего инструмента, известного тогда как GodMode. Те, у кого есть доступ к GodMode, могут публиковать твиты буквально из любой учетной записи без необходимости аутентификации для конкретной учетной записи. GodMode также позволял удалять существующие твиты.
Twitter впоследствии заявил, что провел расследование и предпринял шаги для решения проблемы. Однако, по словам осведомителя, единственное изменение заключалось в том, чтобы отозвать доступ к инструменту по умолчанию. Любой инженер, который хотел получить к нему доступ, должен был всего лишь изменить флаг в одной строке кода с FALSE на TRUE.
The Washington Post сообщает, что осведомитель сообщил об этом Конгрессу еще в октябре, и теперь им поделился с газетой сотрудник Конгресса.
Появился новый осведомитель в Твиттере, который поддержал прошлогодние неожиданные показания о плачевном состоянии защиты конфиденциальности компании и заявил, что компания продолжает нарушать свои юридические обязательства при новом владельце Илоне Маске.
Бывший сотрудник сообщил членам Конгресса и сотрудникам Федеральной торговой комиссии, что любой инженер Twitter может активировать внутреннюю программу, которая до недавнего времени называлась «GodMode», и отправлять твиты с любой учетной записи сегодня, через три месяца после прихода Маска к власти. […]
Новый осведомитель сказал, что после внутренних возражений по поводу программы инженеры изменили ее название на «привилегированный режим». Информатор сказал, что цель программы состояла в том, чтобы позволить сотрудникам Twitter публиковать твиты от имени рекламодателей, которые не могут сделать это сами. […]
В новой жалобе разоблачителя говорится, что код GodMode остается на ноутбуке любого инженера, который захочет его получить. Все, что им нужно будет сделать, это изменить строку кода с FALSE на TRUE и запустить ее с рабочей машины, к которой они смогут получить доступ через легкодоступный протокол связи, известный как SSH.
Информатор сказал, что не только любой инженер может внести это изменение самостоятельно, но и сотрудники службы безопасности Twitter не могут узнать, кто это сделал.
Отчет подтверждает заявления бывшего главы службы безопасности Twitter Пейтера Затко о том, что у компании были «чрезвычайные, вопиющие недостатки» в защите от хакеров.
Фото: Давиде Кантелли/Unsplash
Хотя антимонопольный закон Европейского закона о цифровых рынках (DMA) вынудил Apple разрешить разработчикам продавать приложения…
Поддержка пароля Microsoft Microsoft внедрила поддержку ключей доступа для всех учетных записей пользователей, что позволяет…
Apple запустила новейшие специальные предложения при использовании своей платежной платформы. Ко Дню матери используйте Apple…
Флаги Европейского Союза В ответ на критику о том, что сбор за базовые технологии для…
Сегодня Arc Search, приложение для iOS от браузерной компании, дебютировавшее ранее в этом году, было…
ЕС рассматривает iPad как платформу-привратник в соответствии с Законом о цифровых рынках. Несмотря на то,…