【海外記事】 TwitterのGodModeはまだすべてのエンジニアが利用可能、Appleや他のアカウントのハッキングを受けて

---

元記事

ベン・ラブジョイ
2023年1月24日

Twitter GodMode still available to all engineers, following huge hack

---

TwitterのGodMode（ハッカーが2020年にAppleを含む有名アカウントからツイートするために使用した内部ツール）は、同社のすべてのエンジニアが利用可能なままである。
Twitterは以前、セキュリティホールは修正されたと発表していたが、内部告発者によると、ツールの名称をGodModeからPrivilegedModeに変更したほかは、同社が行った変更は1つだけであり、それでもTwitterのエンジニアであれば誰でも制御不能なアクセス権を得ることができたという。

背景
アップル社の公式ツイッターアカウント@Appleは、2020年当時、多数の有名アカウントの1つだった。影響を受けた他のアカウント
ジョー・バイデン
ジェフ・ベゾス
ビル・ゲイツ
マイク・ブルームバーグ
カニエ・ウェスト
ウーバー
フロイド・メイウェザー
キャッシュアプリ
ウォーレン・バフェット
バラク・オバマ
ミスタービースト
そしてもう1人： イーロン・マスク

このハッキングがより注目されたのは、多くのアカウントが二要素認証を使っていたにもかかわらず、それが可能であったからだ。
結果的にハッカーたちはビットコイン詐欺を投稿しただけだったが、このように知名度が高く信頼されているアカウントから絶対に何でもツイートできるということは、はるかに深刻な結果を招いた可能性がある。

後に、このハッキングは当時GodModeと呼ばれていた内部ツールで行われたことが明らかになった。GodModeにアクセスできる者は、アカウント固有の認証を必要とせず、文字通りどのアカウントからでもツイートを投稿できた。GodModeはまた、既存のツイートを削除することも可能だった。
TwitterのGodModeはまだすべてのエンジニアが利用可能
Twitterはその後、調査を行い、問題に対処するための措置を講じたと発表した。しかし、内部告発者によると、変更されたのは、このツールへのデフォルトのアクセスを取りやめたことだけだった。このツールにアクセスしたいエンジニアは、コードの1行のフラグをFALSEからTRUEに変更するだけでよかった。
ワシントン・ポスト』紙によると、内部告発者がこの件を10月に議会に報告し、今回、議会スタッフによって同紙に伝えられたという。

ツイッターの内部告発者が新たに現れ、同社のプライバシー保護の悲惨な状態に関する昨年の驚くべき証言を支持し、同社は新オーナーであるイーロン・マスクの下で法的義務に違反し続けていると述べた。
この元従業員は連邦議会議員や連邦取引委員会のスタッフに対し、ツイッターのエンジニアであれば誰でも最近まで「GodMode」と呼ばれていた内部プログラムを起動させ、マスクの買収から3ヶ月後の今日、どのアカウントからでもツイートすることができると語っている［...］。
新たな内部告発者によると、このプログラムに関する社内の反対を受け、エンジニアはその名称を "特権モード "に変更したという。内部告発者によると、このプログラムの目的は、自分でツイートできない広告主の代わりにツイッターのスタッフがツイートできるようにすることだったという［...］。
新たな内部告発によれば、GodModeのコードは、それを望むエンジニアのノートパソコンに残っているという。彼らがしなければならないのは、コードの1行をFALSEからTRUEに変更し、SSHとして知られる簡単にアクセスできる通信プロトコルで到達できる本番マシンから実行するだけだ。

内部告発者によると、エンジニアであれば誰でもこの変更を自分で行えるだけでなく、ツイッター社のセキュリティ担当者は誰がこの変更を行ったのか知る術がないという。
この報告書は、ツイッター社の元セキュリティ責任者であるパイター・ザトコ氏による、同社にはハッカーに対する防御に「極端でひどい欠陥」があるという主張を裏付けるものである。

---