今週の話題は、大量の社内文書が流出したTwitter上の重大なセキュリティ上の見落としに関するものだった。 TechCrunc h はそれらにアクセスし、それらを公開することが倫理的かどうかについてピンセットで短い議論を行った後 (単に自分自身を正当化するため)、最も有益なもののいくつかを公開しました。内部文書は Google ドキュメントにあり、何者かが秘密の質問の答えを見つけて、アカウントの 1 つのパスワードを回復することで文書にアクセスできました。
ソーシャル エンジニアリングとは何かを知っている人なら誰でも、「秘密の質問」が史上最悪のセキュリティ概念の 1 つであることに同意するでしょう。アカウントの所有者について少し検索することで、答えを見つけるのは非常に簡単です。これにより、電子メール アカウントにアクセスし、そこから銀行口座、ドメイン、プラン、プロジェクトにアクセスできるようになります。 「秘密の質問」オプションが提供された場合は、決して使用しないでください。
しかし、Twitter のセキュリティ メカニズムがいかに脆弱であるかについて詳しく説明したいと思います。数日前まで、Twitter サーバーにアクセスするためのパスワードは「password」でした。同じツイッターの記録からもわかるように、あまりにも明白で愚かだ。非常に単純なことで運を試した人は誰でも、サイトの管理パネルにアクセスして、その内容を確認できました。
Twitter のようなレベルのサイトで管理者レベルの侵入があれば、どのような意味があるでしょうか?多くのジーンベテロがこのミニブログ サービスを中傷していることは知っていますが、最も反抗的な人でも、結果的にかなりの混乱が生じる可能性があることに同意するでしょう。たとえば、従来のメディアで同様の影響を及ぼしているサイトはほとんどありません。
暴露された文書に関しては、Twitter を止めるつもりはありませんが、非常に恥ずかしい状況に陥って会社を辞めることは確かです。ビズ・ストーン氏によれば、「現在または将来のパートナーとの関係が緊張する可能性がある」という。その中には、従業員との合意、創業者の議題、さまざまな役職の候補者との約束スケジュール、電話記録と請求書、財務予測、Twitter 上のテレビ番組のプロジェクト、 AOL 、 DELL 、Ericsson または Nokia との機密保持契約、リストなどが含まれていました。従業員の食事制限、クレジット カード、Paypal アカウントなど…
会議の概要は特にデリケートです。その中で、同社の将来計画だけでなく、Google、Microsoft、その他の小規模パートナーとの関係の側面についても概説されています。たとえば、その日のトピックは「TwitPic を購入しましょうか?」でした。 、やらないことになった。会議ではサードパーティの Web サイトやアプリケーションが承認されますが、マイクロペイメント サイトMogeesなど、会議に参加できなかった Web サイトやアプリケーションは最終的に消滅します。
しかし何よりも、このすべてには教訓があります。機密文書が十分に保護されているとは決して考えないでください。誤った安心感は、あなたに起こり得る最悪の事態です。プロジェクトや契約を危険にさらす可能性のある文書に複数の人がアクセスできる場合は、この事実の重要性を理解し、 「パスワード」をパスワードとして使用しないようにしてください。
経由 | TechCrunchとVersvs