Twitter เปิดเผยรายละเอียดของการถูกแฮ็กครั้งใหญ่เมื่อกลางเดือน ที่ก่อนหน้านี้เคยเปิดเผยว่าเกิดจากคนในถูกหลอก และคนร้ายเข้าถึงข้อมูลบัญชีกับข้อความ DM

ต้นเหตุมาจากแฮ็กเกอร์ต้องการเข้าถึงเครื่องมือภายใน (internal tools) ที่พนักงานใช้จัดการทวีต ซึ่งจำเป็นต้องเจาะเข้ามายังเครือข่ายภายในบริษัทก่อน และต้องใช้ล็อกอินของพนักงานเฉพาะบางคนที่มีสิทธิเข้าถึงเครื่องมือนี้ด้วย

แฮ็กเกอร์เริ่มจากการหลอกพนักงานบางคนด้วยวิธี phone spear phishing attack (ที่ไม่ระบุรายละเอียดชัดเจน แต่น่าจะหมายถึงการปลอมตัวโทรไปหลอกข้อมูลจากพนักงานโดยตรง) พนักงานชุดแรกที่โดนหลอกไม่มีใครมีสิทธิเข้าถึง internal tools แต่แฮ็กเกอร์ใช้ล็อกอินชุดแรกเข้าไปยังเครือข่ายภายใน และเรียนรู้กระบวนการความปลอดภัยของบริษัทได้

ขั้นถัดมา แฮ็กเกอร์จึงค้นหาพนักงานที่มีสิทธิเข้า internal tools เจอและตามไปหลอกเอาล็อกอินมาอีก เมื่อได้ของครบแล้วจึงเข้า internal tools ไปโพสต์ข้อมูลลงบัญชีดังๆ เพื่อหลอกให้โอนเงิน Bitcoin ตามที่เราเห็นกัน

การแฮ็กครั้งนี้มีบัญชีที่เป็นเป้าหมายทั้งหมด 130 บัญชี บัญชีที่โพสต์ข้อมูล 45 บัญชี, บัญชีที่โดนเข้าถึง DM 36 บัญชี และบัญชีที่ถูกดาวน์โหลดข้อมูลไป 7 บัญชี

Twitter อธิบายว่า internal tools มีไว้สำหรับงานซัพพอร์ตเป็นหลัก มีนโยบายเข้มงวดในการจำกัดการเข้าถึงเครื่องมือนี้ แต่เหตุการณ์นี้แสดงให้เห็นจุดอ่อนของกระบวนการเข้าถึง โดยเฉพาะการใช้จุดอ่อนที่ตัวมนุษย์เองโดยตรง หลังเหตุการณ์แฮ็กครั้งนี้ บริษัทจึงจำกัดการเข้าถึง internal tools กว่าเดิม และจะเพิ่มการตรวจสอบความปลอดภัยให้มากขึ้น

ที่มา - Twitter