黑客比特幣騙局顯示Twitter需要更好的內(nèi)部控制

2020-08-03 15:05
0個贊
摘要:7月15日黑客利用數(shù)十個備受關(guān)注的Twitter賬戶,包括巴拉克·奧巴馬、喬·拜登、邁克·布隆伯格以及包括亞馬遜首席執(zhí)行官杰夫·貝索斯、微軟聯(lián)合創(chuàng)始人比爾·蓋茨和特斯拉首席執(zhí)行官埃隆·馬斯克在內(nèi)的多名科技界億萬富翁在7月15日發(fā)出虛假推文。這些虛假推文表示,每向匿名比特幣地址發(fā)送1000美元,就會得到2000美元的回報。

7月15日黑客利用數(shù)十個備受關(guān)注的Twitter賬戶,包括巴拉克·奧巴馬(Barack Obama)、喬·拜登(Joe Biden)、邁克·布隆伯格(Mike Bloomberg)以及包括亞馬遜首席執(zhí)行官杰夫·貝索斯(Jeff Bezos)、微軟聯(lián)合創(chuàng)始人比爾·蓋茨(Bill Gates)和特斯拉首席執(zhí)行官埃隆·馬斯克(Elon Musk)在內(nèi)的多名科技界億萬富翁在7月15日發(fā)出虛假推文。這些虛假推文表示,每向匿名比特幣地址發(fā)送1000美元,就會得到2000美元的回報。

 

Twitter刪除了這些推文,并宣布“認為這是一次協(xié)同攻擊,這些黑客訪問了一些員工才能夠訪問的內(nèi)部系統(tǒng)和工具。”

 

圣母大學門多薩商學院教授信息技術(shù)、分析和運營的網(wǎng)絡安全和隱私專家邁克·查普爾(Mike Chapple)說:“像這樣利用被劫持的推特賬戶試圖竊取比特幣的計劃,每天都在Twitter上發(fā)生。”,“但是,這次攻擊的獨特之處在于,黑客利用了擁有數(shù)百萬粉絲的知名賬戶。”雖然推特反應迅速,并刪除這些虛假的推文,但Chapple說,損害已經(jīng)造成。

 

美國國家安全局(National Security Agency)前計算機科學家查普爾(Chapple)說:“加密貨幣的運作方式,一旦發(fā)生轉(zhuǎn)移,就不可逆轉(zhuǎn),幾乎無法追蹤。”。

 

Twitter透露,這次攻擊發(fā)生在一名員工成為社交工具攻擊的受害者之后,攻擊者誘騙該員工授權(quán)訪問Twitter內(nèi)部工具。

 

查普爾(Chapple)解釋說:“這些工具的功能之一是能夠在Twitter上模擬其他用戶,以便對他們的帳戶進行故障排除。”很顯然,Twitter的網(wǎng)絡安全團隊需要對其內(nèi)部控制進行長時間的仔細研究,以便更好地抵御此類攻擊。

 

查普爾(Chapple)還表示:“Twitter昨晚披露的最令人震驚的信息之一是他們還不了解這次襲擊的全部范圍。”“Twitter的支持團隊說,正在調(diào)查黑客可能還進行了哪些惡意活動或訪問了哪些信息。”這相當令人不安,因為它表明,我們昨天看到的推特欺騙行為可能只是這一漏洞的冰山一角。 根據(jù)他們訪問的內(nèi)部工具的性質(zhì),攻擊者可能已經(jīng)損害了其他用戶帳戶,獲得了對敏感個人信息的訪問權(quán),或者在Twitter服務中留下后門,他們可以在以后利用這些服務。

 

后續(xù)報道:

北京時間8月1日上午消息,美國當局周五表示,佛羅里達州的一名青少年入侵了知名政界人士、名人和科技巨頭的Twitter賬戶,從全球各地的人們手中騙取了逾10萬美元。

周五早些時候,這名17歲的男孩克拉克(Graham Ivan Clark)在坦帕(Tampa)被逮捕,希爾斯堡(Hillsborough)州檢察官辦公室將在那里對此案進行起訴。據(jù)悉,他面臨著30項重罪指控。

 

 

涉及的內(nèi)部控制措施:

 

根據(jù)國際注冊內(nèi)部控制師CICS內(nèi)控課程中,交易處理控制部分中的內(nèi)容,此次Twitter安全危機中涉及的內(nèi)部控制漏洞可能涉及以下幾個方面:訪問控制、硬件管理、授權(quán)管理、二次授權(quán)等。

(1)訪問控制類型中的用戶標識控制措施,用戶標識具有唯一性(即,雇員編號和/或用戶部門代碼)和密碼用于限制用戶可以處理的活動以及用戶可以訪問的文件。本次案例中,在訪問控制中可以加入人臉識別功能,來驗證操作的雇員是否為本人操作。

 

(2)管理控制區(qū)域,包括電子設備標識碼控制措施——在終端內(nèi)嵌入無需人為干預的硬件標識碼;該代碼由計算機定期進行驗證和核對,以保證不使用任何未經(jīng)授權(quán)的終端設備。本次案例中如果雇員的賬號和密碼配合硬件識別碼,特定操作需要制定特定的指定設備來提交執(zhí)行,也可以避免發(fā)生冒用的情況。

 

(3)授權(quán)控制區(qū)域中授權(quán)流程可以細分為源文件準備、書面程序和程序的批準。涉及到本次案例涉及到提出的請求有無審批文件、模擬賬戶有哪些其他的準備條件,是否要特定的級別權(quán)限才可以對特殊的用戶進行操作等。

 

(4)二次授權(quán)控制措施,主要針對關(guān)鍵數(shù)據(jù)區(qū)域訪問和關(guān)鍵操作活動的執(zhí)行需要進行二次審批,并且有些操作不能在同一硬件設備上使用不同的用戶登錄進行操作。本次案例中涉及眾多的名人賬號,這類賬號的管理應該有更為嚴格的授權(quán)控制措施,二次授權(quán)也可以避免一些冒用或者誤操作的發(fā)生。

 

 

  來源:ICI中國總部 內(nèi)控快訊

 

近期課程安排:3月、6月、9月、11月 

《國際注冊內(nèi)部控制師CICS資格認證》面授及網(wǎng)絡課程學習班:

報名鏈接:http://www.neikong.com/kecheng/detail_870826

聯(lián)系電話:010-68004176、68004186

聯(lián) 系 人:孫老師、邱老師

 

這篇文章對你有沒有幫助?有 0無 0
上一篇:自行采購怎么做?內(nèi)蒙古包頭搭建“內(nèi)控采購”通道下一篇:千萬“被貸款”出籠?銀行信貸內(nèi)控機制是否失靈?