Telefoontje als IT-collega was voldoende om toegangsrechten te krijgen

Het New York State Department of Financial Services heeft het onderzoek naar de grote Twitter-hack deze zomer afgerond en het rapport openbaar gemaakt. De meeste opvallende conclusie is hoe gemakkelijk de hackers zijn binnengekomen door zich via telefoon voor te doen als IT-medewerkers. Het weerspiegelt de uitdaging voor bedrijven om de groeiende hoeveelheid identiteiten te beheren en de toegangscontrole tot belangrijke systemen voor al die accounts in goede banen te leiden.

Uit het rapport blijkt dat Twitter niet in staat was om niet-geavanceerde hackers te weerhouden toegang te krijgen tot interne tools met veel rechten om accounts van het sociale netwerk te beheren. Er was een gebrek aan adequate tools voor toegangscontrole en identity management, maar bovendien ontbrak het aan begrip van wat privileged access management is (het beschermen van gebruikers- en systeemaccounts met verhoogde rechten) en het toepassen ervan in de gehele organisatie.

David Higgins, Technical Director CyberArk: “Als wachtwoorden zo gemakkelijk zijn te achterhalen, is het een waarschuwing voor bedrijven dat ze Zero Trust en biometrie beter moeten omarmen om toegang op afstand beter te beveiligen. Afhankelijk van de genomen maatregelen, kan elke gebruiker op een gegeven moment ‘privileged’ worden. Het is die gelegenheid waar hackers op azen om hun strategie toe te passen. Ze zoeken het makkelijkste punt om binnen te komen en gaan dan stap voor stap verder om op te schalen naar een account met meer toegangsrechten.”

“Aangezien privileged access aan een sterke opmars bezig is, door verschillende mensen, taken en systemen, zullen bedrijven steeds vaker dit soort aanvallen moeten weerstaan. Onbewuste medewerkers die meer rechten en privileges hebben gekregen dan nodig vormen het belangrijkste doelwit”, aldus Higgins.

Het hele onderzoeksrapport is te vinden op https://www.dfs.ny.gov/Twitter_Report#_ftnref58