Twitter乗っ取りは社内ツールへの不正アクセス--パスワード変更は不要
コメント
注目のコメント
https://medium.com/@lucky225/the-twitter-hack-what-exactly-happened-d8740d33c1c
によると、ソーシャルエンジニアリングによりツイッター従業員から管理用アクセス権を盗み、対象アカウントに登録されているメールアドレスを変更した上で、2要素認証(2FA)をオフにした上でパスワードリセットを行い(従って、2FAをオフにしたこともパスワードリセットも通知はアカウント所有者に通知されず、すべて犯人の新しいメールアドレスに送られる)、アカウント所有者に気づかれることなくログインできたようです。
こうした一見回りくどいことをしたのは、盗み出したアクセス権による社内管理ツールを使っても、あらゆる事ができるわけではないことを示唆しています。
社内管理ツールへの不正アクセスが原因なので、個別のアカウントがパスワードをリセットしても殆ど無意味のようですね。
どんなにテクノロジーでセキュリティをガチガチにしていも、やはり管理しているのは人間なので、そこを狙われてしまうと弱いですね。