Twitter: "Es war ein Spear-Phishing-Angriff"
31. Juli 2020, 12:46
Hacker verschafften sich Zugang zu internen Support-Tools und prominenten Accounts. Dies erreichten sie mit einer Spear-Phishing-Attacke via Telefon.
Twitter hat in einem Blogbeitrag ein paar weitere Details zum Angriff vom 15. Juli bekannt gegeben. Damals drangen Hacker in die Systeme ein und schafften es, von einigen sehr prominenten Accounts aus zu twittern und einen Bitcoin-Betrug zu verbreiten.
Wie Twitter nun schreibt, wurden einige Mitarbeitende Ziel einer Phishing-Attacke, genauer gesagt eines Telefon-Spear-Phishing-Angriffs. Weitere Details dazu, wie dies abgelaufen ist, verrät das Unternehmen nicht. Zuvor erklärte Twitter, dass die Angreifer Zugang zu Tools gehabt hätten, die ausschliesslich den internen Support-Teams zur Verfügung stehen würden.
Es ist zu vermuten, dass die Hacker Twitter-Mitarbeitende angerufen haben, sich als Kollegen, Vorgesetzte oder Security-Personal ausgegeben haben, und die Opfer baten, die Zugangsdaten preiszugeben.
Der Angriff sei ein konzertierter Versuch gewesen, bestimmte Mitarbeiter in die Irre zu führen und menschliche Schwachstellen auszunutzen, so das Unternehmen. Und es sei "eine eindrucksvolle Erinnerung" daran gewesen, wie wichtig jede einzelne Person mit Blick auf die IT-Sicherheit sei.
Zugriffsberechtigungen der Angestellten in Kritik
Der beispiellose Angriff zeigte auch ein grundsätzliches Problem bei Twitter. Denn es wurde bekannt, dass die Angreifer auch auf Direktnachrichten zugreifen konnten. Dies bedeutet, dass auch gewisse Mitarbeitende offensichtlich sehr tiefen Einblick in die Daten der User haben könnten. Dieser mangelnde Schutz wurde bereits vor dem Angriff kritisiert.
"Nach dem Vorfall gab es Besorgnis im Hinblick auf die Tools und Zugangsberechtigungen für Mitarbeitende", schreibt Twitter nun. Die Mitarbeitenden würden über eine Reihe von Tools verfügen, um Supportanfragen zu erledigen, Inhalte gemäss den Twitter-Regeln zu überprüfen oder um auf Berichte zu reagieren. "Der Zugang zu diesen Tools ist streng begrenzt", betont Twitter, und man toleriere keinen Missbrauch. Das Unternehmen überwache und kontrolliere Zugänge und überprüfe regelmässig die Berechtigungen. "Während diese Instrumente, Kontrollen und Prozesse ständig aktualisiert und verbessert werden, prüfen wir intensiv, wie wir sie noch ausgefeilter gestalten können", heisst es im Blogeintrag.
Loading
Zürcher Datenschützerin zum Cloudeinsatz: "Der Regierungsratsbeschluss ändert gar nichts"
Bei Dominika Blonski häufen sich seit dem Frühling Anfragen von Behörden zur Cloudnutzung. Im Gespräch sagt die Datenschützerin: "Ich weiss nicht, was die Absicht der Zürcher Regierung war."
IT-Woche: Datenschutz vs. Anwälte – wer gewinnt?
Es läuft die Schlussviertelstunde des Spiels. Aktuell steht es Unentschieden. Die Anwälte sind im Angriff, aber die Datenschützer haben eine starke Verteidigung im Aufgebot.
Datenschützer äussern harsche Kritik an Cloud-Entscheiden von Behörden
Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) fordert: Kein Freipass für Microsoft 365.
EPD-Infoplattform von eHealth Suisse gehackt
Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.