Сотрудники Twitter годами шпионили за знаменитостями и политиками
Работники Twitter в течение двух лет следили за селебрити и политиками через их профили в сервисе. Они знали адреса их электронной почты и номера телефонов и даже могли отслеживать их приблизительное местоположение.
«Большой брат» в Twitter
Сотрудники сервиса микроблогов Twitter на протяжении нескольких лет взламывали профили известных людей, используя свое положение в компании и внутренние инструменты, недоступные обычным пользователям. Об этом сообщило издание Bloomberg со ссылкой на бывших работников компании.
Взломом аккаунтов промышляли сотрудники Twitter, работающие по контракту и осуществляющие контроль за нарушением правил ресурса и сброс настроек аккаунтов пользователей по их запросу. По данным Bloomberg, свою «игру» (так издание охарактеризовало их деятельность) они начали в 2017 г. и продолжили в 2018 г.
«Хакеры» использовали корпоративное ПО, изначально предназначавшееся для сброса паролей к профилям и регистрации нарушений правил Twitter. Они быстро поняли, что его можно применять и для слежки за владельцами микроблогов, и их внимание привлекли аккаунты селебрити.
Как происходила слежка
Злоумышленники проникали в аккаунты известных людей, создавая поддельные запросы в службу техподдержки, что открывало им полный доступ к ним. По данным Bloomberg,
Это позволяло «хакерам» иметь легкий доступ к личным данным знаменитостей и даже отслеживать их местоположение, хотя и с определенной погрешностью. Текущее место дислокации той или иной селебрити они могли вычислить по IP-адресу, с которого они подключались к аккаунту.
По состоянию на 29 июля 2020 г. список знаменитостей, пострадавших в результате превышения сотрудниками Twitter своих полномочий, не раскрывался. Известно лишь, что среди них есть певица Бейонсе (Beyonce). Помимо IP-адреса, злоумышленники получали доступ к адресам электронной почты и номерам телефонов жертв слежки.
Со временем «игра», которую затеяли контрактные сотрудники Twitter, приобрела массовый характер. Они стали отслеживать не только знаменитостей, но также политиков и бывших возлюбленных.
Реакция Twitter
Представители Twitter на момент публикации материала отказывались комментировать материал Bloomberg. Они не сообщили, как много «контрактников» было задействовано в слежке, и как много аккаунтов они успели взломать, используя корпоративные инструменты.
В настоящее время судьба этих работников неизвестна. В Twitter сообщили изданию Business Insider, что политика компании подразумевает крайне негативное отношение к злоупотреблению служебным положением. По словам представителей ИТ-компании, подобные превышения полномочий могут стать причиной для увольнения сотрудника.
Масштабный взлом Twitter
По данным Bloomberg, инструменты Twitter, использовавшиеся в 2017-2018 гг. для тайной слежки за знаменитостями и политиками, стали орудием для массового взлома аккаунтов, произошедшего в середине июля 2020 г. Представитель Twitter сообщила изданию, что в штате компании насчитывается в пределах 1500 человек, обрабатывающих запросы на сброс настроек аккаунта и проверку пользователей на нарушение правил ресурса.
В общей сложности, пишет BBC, хакеры взломали порядка 130 аккаунтов, в каждом из которых разместили сообщение с предложением по быстрому заработку на биткоинах. Это сообщение гласило, что при отправке той или иной суммы в биткоинах автор послания моментально вернет ее отправителю в удвоенном размере. Подобные посты появились, в том числе, в блоге кандидата в президента США от Демократической партии Джо Байдена (Joe Biden), основателя корпорации Microsoft Билла Гейтса (Bill Gates), миллиардера Илона Маска (Elon Musk), а также главы корпорации Amazon Джеффа Безоса (Jeff Bezos). Злоумышленники взломали и профили не только бизнесменов и политиков, но также музыкальных исполнителей – к примеру, от их действий пострадали рэперы Канье Уэст (Kanye West) и Уиз Халифа (Wiz Khalifa).
Представители Twitter, комментируя произошедшее, заявили, что хакеры смогли провернуть подобное путем «скоординированной атаки с использованием инструментов социальной инженерии». Целью этой атаки были те самые 1500 сотрудников компании, обладавших необходимым ПО для быстрого доступа к профилям.
В рамках «кампании» по удвоению денег мошенники смогли заработать в пределах $120 тыс. Расследованием произошедшего займется Федеральное бюро расследований (ФБР).
Источник: cnews.ru