Twitter GodMode ist weiterhin für alle Ingenieure verfügbar, nachdem Apple und andere Konten gehackt wurden
Twitter GodMode – ein internes Tool, das Hacker twitterten früher von hochkarätigen Konten, darunter Apple , im Jahr 2020 – steht laut einem neuen Bericht heute weiterhin allen Ingenieuren des Unternehmens zur Verfügung.
OPTAD-1
Twitter hatte zuvor gesagt, dass die Sicherheit Die Lücke sei behoben worden, aber ein Whistleblower sagte, dass das Unternehmen abgesehen von der Änderung des Namens des Tools von GodMode in PrivilegedMode nur eine Änderung vorgenommen habe – und die es jedem Twitter-Ingenieur immer noch erlaubt habe, sich auf triviale Weise unkontrollierten Zugriff darauf zu verschaffen …
Hintergrund
Apples offizieller Twitter-Account @Apple war einer von mehreren bekannten Accounts, die im Jahr 2020 kompromittiert wurden. Weitere betroffene Accounts waren:
- Joe BidenMehr
- Jeff Bezos
- Bill Gates
- Mike Bloomberg
- Kanye West
- Uber
- Floyd Mayweather
- Cash-App
- Warren Buffett
- Barack Obama
- MrBeast
Oh, und noch einer: Elon Musk.
OPTAD-2
Der Hack war umso bemerkenswerter, als er möglich war, obwohl viele der Konten eine Zwei-Faktor-Authentifizierung nutzten, was bedeutete, dass der Zugriff selbst mit dem Kontopasswort unmöglich gewesen sein sollte.
Tatsächlich haben die Hacker lediglich einen Bitcoin-Betrug gepostet, aber die Möglichkeit, absolut alles von solch hochkarätigen und vertrauenswürdigen Konten zu twittern, hätte zu weitaus schwerwiegenderen Konsequenzen führen können.
Später stellte sich heraus, dass der Hack mit einem internen Tool durchgeführt wurde, das damals als GodMode bekannt war. Wer Zugriff auf GodMode hat, kann Tweets von buchstäblich jedem Konto posten, ohne dass eine kontospezifische Authentifizierung erforderlich ist. GodMode ermöglichte auch das Löschen vorhandener Tweets.
OPTAD-3
Twitter GodMode steht weiterhin allen Ingenieuren zur Verfügung
Twitter erklärte anschließend, man habe das Problem untersucht und Schritte unternommen, um es zu beheben. Laut einem Whistleblower bestand die einzige Änderung jedoch darin, sich zurückzuziehen Standard Zugriff auf das Werkzeug. Jeder Ingenieur, der darauf zugreifen wollte, musste nur das Flag in einer Codezeile von FALSE auf TRUE ändern.
Die Washington Post berichtet, dass ein Whistleblower dies bereits im Oktober dem Kongress gemeldet hat und es nun von einem Kongressmitarbeiter mit der Zeitung geteilt wurde.
Ein neuer Twitter-Whistleblower ist aufgetaucht, der die überraschende Aussage des letzten Jahres über den miserablen Zustand des Datenschutzes des Unternehmens unterstützt und sagt, das Unternehmen verstoße weiterhin gegen seine gesetzlichen Verpflichtungen unter dem neuen Eigentümer Elon Musk.
OPTAD-4
Der ehemalige Mitarbeiter hat Mitgliedern des Kongresses und Mitarbeitern der Federal Trade Commission mitgeteilt, dass jeder Twitter-Ingenieur heute, drei Monate nach Musks Übernahme, ein internes Programm namens „GodMode“ aktivieren und von jedem Konto aus twittern kann.
Der neue Whistleblower sagte, dass die Ingenieure aufgrund interner Einwände gegen das Programm seinen Namen in „privilegierter Modus“ geändert hätten. Der Whistleblower sagte, der Zweck des Programms bestehe darin, Twitter-Mitarbeitern zu ermöglichen, im Namen von Werbetreibenden zu twittern, die nicht in der Lage seien, dies selbst zu tun […]
Die neue Whistleblower-Beschwerde besagt, dass der GodMode-Code auf dem Laptop jedes Ingenieurs verbleibt, der ihn haben möchte. Sie müssten lediglich eine Zeile des Codes von FALSE in TRUE ändern und ihn auf einer Produktionsmaschine ausführen, die sie über ein leicht zugängliches Kommunikationsprotokoll namens SSH erreichen könnten.
Der Whistleblower sagte, dass nicht nur jeder Ingenieur diese Änderung selbst vornehmen könne, sondern dass das Sicherheitspersonal von Twitter auch keine Möglichkeit habe, herauszufinden, wer sie vorgenommen habe.
Der Bericht stützt Behauptungen des ehemaligen Twitter-Sicherheitschefs Peiter Zatko, dass das Unternehmen „ extreme, eklatante Mängel ” in seinem Schutz vor Hackern.
Foto: David Cantelli / Unsplash
