Territorio Móvil

Twitter GodMode todavía está disponible para todos los ingenieros después de un gran hackeo

Twitter GodMode, una herramienta interna que los piratas informáticos usaron para twittear desde cuentas de alto perfil, incluida Apple en 2020, sigue disponible para todos los ingenieros de la compañía hoy, según un nuevo informe. Twitter había dicho anteriormente que la vulnerabilidad se había solucionado, pero un denunciante dijo que, además de cambiar el nombre de la herramienta de GodMode a PrivilegedMode, la compañía solo había realizado un cambio, y uno que todavía permitía que cualquier ingeniero de Twitter fuera dueño de manera trivial y le diera acceso sin control. …

antecedentes

La cuenta oficial de Twitter de Apple @Apple fue una de varias cuentas de alto perfil comprometidas en 2020. Otras cuentas afectadas fueron:

  • Joe Biden
  • Jeff Bezos
  • Bill Gates
  • Mike Bloomberg
  • Kanye West
  • encima
  • Floyd Mayweather
  • aplicación de efectivo
  • Warren Buffett
  • barack obama
  • Mrbeast

Ah, sí, y uno más: Elon Musk. El hackeo fue aún más notable por ser posible, a pesar de que muchas de las cuentas usaban autenticación de dos factores, lo que significa que el acceso debería ser imposible incluso con la contraseña de la cuenta. Coincidentemente, los piratas informáticos simplemente lanzaron una estafa de bitcoin, pero poder twittear absolutamente cualquier cosa desde cuentas tan confiables y de alto perfil podría haber tenido consecuencias mucho más graves. Más tarde se supo que el hack se realizó utilizando una herramienta interna conocida en ese momento como GodMode. Aquellos con acceso a GodMode pueden publicar tweets desde literalmente cualquier cuenta sin necesidad de una autenticación específica de la cuenta. GodMode también permitió eliminar tweets existentes.

Twitter GodMode todavía está disponible para todos los ingenieros

Twitter dijo después que estaba investigando el problema y tomando medidas para solucionarlo. Sin embargo, según un denunciante, el único cambio fue eliminar el acceso predeterminado a la herramienta. Cualquier ingeniero que quisiera acceder solo tenía que cambiar el indicador de FALSO a VERDADERO en una línea de código. The Washington Post informa que un denunciante informó esto al Congreso en octubre, y ahora ha sido informado al periódico por un miembro del personal del Congreso.

Ha surgido un nuevo denunciante de Twitter que respalda la sorprendente declaración del año pasado sobre el terrible estado de privacidad de la compañía y dice que la compañía continúa incumpliendo sus obligaciones legales bajo el nuevo propietario, Elon Musk. El ex empleado les dijo a los miembros del Congreso y a los empleados de la Comisión Federal de Comercio que cualquier ingeniero de Twitter puede activar un programa interno llamado «GodMode» y twittear desde cualquier cuenta hoy, tres meses después de la adquisición de Musk. […]
El nuevo denunciante dijo que los ingenieros cambiaron su nombre a «modo privilegiado» después de objeciones internas al programa. El denunciante dijo que el propósito del programa es permitir que los empleados de Twitter tuiteen en nombre de los anunciantes que no pueden hacerlo por sí mismos. […]
La nueva queja del denunciante dice que el código GodMode permanece en la computadora portátil de cualquier ingeniero que lo desee. Todo lo que tendrían que hacer es cambiar una línea de código de FALSO a VERDADERO y ejecutarlo desde una máquina de producción, a la que podrían acceder utilizando un protocolo de comunicaciones de fácil acceso llamado SSH.

El denunciante dijo que no solo cualquier ingeniero podría hacer este cambio por sí mismo, sino que el personal de seguridad de Twitter no tenía forma de saber quién lo hizo. El informe respalda las afirmaciones del ex jefe de seguridad de Twitter, Peiter Zatko, de que la empresa tenía «deficiencias extremas y atroces» en la protección contra los piratas informáticos. Foto: Davide Cantelli/Unsplash FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

Visite 9to5Mac en YouTube para obtener más noticias de Apple:

MÁS SOBRE APPLE
T-Mobile está renunciando al descuento de AutoPay para Apple Pay a pesar de los problemas de seguridad anteriores
La autoridad de competencia francesa inicia una investigación sobre el ATT de Apple
iOS 17 Beta 4: Esto es nuevo
Cuarta beta para desarrolladores de iOS 17 y iPadOS 17 implementada por Apple
Encuesta: ¿Seguirá valiendo la pena la Apple Card en 2023? [Video]
El iPhone 15 podría tener una lente de cámara mejorada y una mayor apertura

Deja una respuesta

Tu dirección de correo electrónico no será publicada.