В минувшие выходные Twitter-аккаунт основателя и CEO Twitter Джека Дорси (Jack Dorsey) был взломан. Скомпрометировав учетную запись, злоумышленники принялись публиковать от лица Дорси оскорбительный и расистский контент, и даже утверждали, будто в штаб-квартире компании заложена бомба (подобные угрозы уже вряд ли можно назвать шуткой, они могут повлечь за собой федеральное расследование в соответствии с законами США).
Ответственность за эту атаку взяла на себя хак-группа Chuckle Gang, ранее взламывавшая других известных личностей в социальных сетях. О составе и целях этой группировки не известно практически ничего. Фальшивые твиты Дорси продержались в онлайне около получаса, а затем были удалены.
ИБ-специалисты и пользователи быстро заметили, что источником неавторизованных сообщений был CloudHopper. Данную компанию, специализирующуюся на работе с SMS-технологиями, Twitter приобрела в 2010 году. В частности, CloudHopper позволяет пользователям отправлять твиты с помощью SMS-сообщений. Так в сообществе появилась теория, что атакующие захватили реальный номер телефона Дорси с помощью SIM swap атаки и взаимодействовали с его учетной записью через SMS.
.@Jack’s account has been hacked.
— Sam (@Hooray) August 30, 2019
The Tweets are coming from a source called Cloudhopper. Cloudhopper was the name of the company Twitter acquired a long time ago to help bolster their SMS service.
Looks like the hackers are Tweeting via the old SMS service... pic.twitter.com/YcU3DTn9wS
Вскоре эта теория получила официальное подтверждение. Представители Twitter заявили, что атака произошла по недосмотру мобильного оператора, который допустил компрометацию и позволил неавторизованному лицу использовать номер Дорси для отправки SMS-сообщений.
Интересно, что об этой «слабости» Twitter известно давно. Так, еще в конце 2018 года эксперты компании Insinia Security предупреждали об опасности использования SMS-сообщений в качестве второго фактора для аутентификации и объясняли, чем чревато использование функциональности Twitter через SMS. Хуже того, в сети можно найти статьи об опасности этой функциональности, датированные 2007 и 2009 годами.
Дело в том, что Twitter по-прежнему можно использовать посредством SMS-сообщений, что было довольно популярно еще на заре появление сервиса. Главное условие: чтобы эту функциональность поддерживал оператор связи. Проблема в том, что в последние годы злоумышленники все чаще «угоняют» SIM-карты пользователей, осуществляя так называемый SIM swap.
Суть таких атак заключается в том, что преступник обращается к представителям сотового оператора своей жертвы и применяет социальную инженерию. К примеру, выдавая себя за настоящего владельца номера, злоумышленник заявляет, что потерял или сломал SIM-карту и добивается переноса номера на новую SIM-карту. Затем злоумышленники воруют привязанные к номеру телефона учетные записи, фактически похищая чужие личности полностью. Такие атаки часто используются для кражи крупных сумм в криптовалюте или компрометации дорогих Instagram-аккаунтов.
Если злоумышленники присваивают себе чей-то телефонный номер, у пользователя сразу возникает множество проблем, одной из которых может стать и Twitter. Ведь для перехвата управления над чужим аккаунтом в микроблогинговой сети достаточно завладеть телефонным номером, который привязан к этой учетной записи.
Напомню, что Twitter Джека Дорси уже взламывали в 2016 году. Тогда ответственность за атаку взяла на себя хак-группа OurMine, и взломщики пояснили, что скомпрометировали Dropbox Дорси, где нашли «всякие файлы Vine», среди которых были скриншоты контрольной панели. Как оказалось, оператор в панели управления может видеть личную информацию о людях и их паролях, чем и не преминули воспользоваться злоумышленники.