Bij de grootschalige Twitter-hack in juli kregen hackers toegang tot verschillende prominente Twitter-accounts wat hen ruim $118.000 aan Bitcoin opleverde. Het New York State Department of Financial Services heeft onderzoek gedaan naar de oorzaak van deze Twitter-hack. Uit het onderzoek blijkt dat hackers eenvoudig toegang hebben kunnen verkrijgen door zich via de telefoon voor te doen als medewerker van de IT-servicedesk. Door medewerkers van Twitter te bellen en te vragen in te loggen op een phishing website konden ze inloggegevens achterhalen waarmee ze toegang kregen tot interne tools. De eenvoud waarmee toegang kon worden verkregen en de gevolgen ervan weerspiegelen duidelijk de uitdaging waar veel bedrijven mee te maken hebben; het beheren van het toenemend aantal identiteiten en het verlenen en controleren van hun toegangsrechten.
Uit het onderzoek van New York State Department of Financial Services blijkt dat de Twitter-hack geen geavanceerde hack was. De hackers wisten simpelweg wat ze zochten en hoe ze hun doel konden bereiken. Dat de hack uiteindelijk heeft plaatsgevonden is te wijten aan de beveiliging van Twitter die onvoldoende bleek te zijn. In het rapport wordt dan ook de waarschuwing gegeven aan bedrijven dat zelfs een eenvoudige cybercrimineel aanzienlijke schade kan aanrichten.
Er was binnen Twitter een gebrek aan toegangscontrole en identiteitsbeheer wat zelfs eenvoudige hackers in staat stelde toegang te verkrijgen tot gevoelige informatie. Met alle gevolgen van dien. In dit geval waren het hackers, maar binnen bedrijven kunnen ook medewerkers – bedoeld of onbedoeld – toegang krijgen tot systemen en informatie die niet voor hen bedoeld zijn. De Twitter-hack toonde dan ook duidelijk het belang van informatiebeveiliging aan, zowel voor ons privé als voor bedrijven. Zie informatiebeveiliging dus niet als noodzakelijk kwaad, maar als waardevolle manier om systemen en applicaties op verantwoorde wijze beschikbaar te stellen. Met het Provisior platform voor Identity Governance & Administration (IGA) helpen wij u de toegangscontrole en het identiteitsbeheer binnen uw organisatie op orde te krijgen.
Rick de Laat
Marketing medewerker