本日発表された新たなレポートによると、2020年にハッカーがAppleを含む有名アカウントからツイートするために使用した内部ツールであるTwitter GodModeは、同社のエンジニア全員が引き続き利用できるとのことだ。

Twitter社は以前、セキュリティホールは修正されたと発表していたが、内部告発者によると、同社がツール名をGodModeからPrivilegedModeに変更した以外には1つの変更しか行っておらず、その変更によってTwitterのエンジニアなら誰でも簡単に制御不能なアクセスが可能になっていたという。

背景

Appleの公式Twitterアカウント@Appleは、2020年に侵害された数多くの有名アカウントの1つでした。影響を受けた他のアカウントは以下のとおりです。

• ジョー・バイデン
• ジェフ・ベゾス
• ビル・ゲイツ
• マイク・ブルームバーグ
• カニエ・ウェスト
• ウーバー
• フロイド・メイウェザー
• キャッシュアプ​​リ
• ウォーレン・バフェット
• バラク・オバマ
• ミスタービースト

ああ、あともう1人: イーロン・マスク。

このハッキングは、多くのアカウントが二要素認証を使用していたにもかかわらず可能だったため、特に注目された。つまり、アカウントのパスワードを使ってもアクセスは不可能だったはずだ。

実際には、ハッカーたちは単にビットコイン詐欺を投稿しただけだったが、このように知名度が高く信頼されているアカウントから何でもツイートできれば、はるかに深刻な結果を招きかねない。

その後、このハッキングは当時「GodMode」と呼ばれていた内部ツールによって行われたことが明らかになりました。GodModeにアクセスできるユーザーは、アカウント固有の認証を必要とせずに、文字通りどのアカウントからでもツイートを投稿できました。また、GodModeは既存のツイートを削除することも可能でした。

Twitterはその後、調査を行い、問題に対処するための措置を講じたと発表した。しかし、内部告発者によると、変更されたのはツールへのデフォルトのアクセスを撤回しただけだった。アクセスを希望するエンジニアは、コードの1行のフラグをFALSEからTRUEに変更するだけで済んだ。

ワシントンポスト紙は、内部告発者が10月に議会にこの件を報告し、それが現在、議会職員によって同紙に共有されたと報じている。

新たなツイッター内部告発者が現れ、同社のプライバシー保護の悲惨な状況に関する昨年の驚くべき証言を裏付け、同社は新オーナーのイーロン・マスク氏の下でも法的義務に違反し続けていると述べた。

元従業員は連邦議会議員や連邦取引委員会の職員に対し、マスク氏による買収から3か月が経った今日、ツイッターのエンジニアなら誰でも最近まで「GodMode」と呼ばれていた社内プログラムを起動して、どのアカウントからでもツイートできると語った[…]

新たな内部告発者によると、このプログラムに関する社内からの反対を受けて、エンジニアたちはその名称を「特権モード」に変更したという。内部告発者によると、このプログラムの目的は、Twitterのスタッフが、自身ではツイートできない広告主に代わってツイートできるようにすることだという。[…]

新たな内部告発者による告発によると、GodModeのコードは、それを希望するエンジニアのラップトップに残っているという。コードの一行をFALSEからTRUEに変更し、SSHと呼ばれる容易にアクセスできる通信プロトコルを介してアクセスできる本番環境のマシンから実行するだけだ。

内部告発者は、エンジニアなら誰でもこの変更を自分で行うことができるだけでなく、Twitterのセキュリティ担当者には誰が変更を行ったかを知るすべがないと述べた。

この報告書は、ツイッターの元セキュリティ責任者、ピーター・ザトコ氏の、同社にはハッカーに対する防御策に「極めて重大な欠陥」があったという主張を裏付けている。

写真: Davide Cantelli/Unsplash

havebin.com を Google ニュース フィードに追加します。