В конце прошлой недели Twitter-аккаунт Джека Дорси (Jack Dorsey), CEO Twitter, подвергся взлому. Скомпрометировав учетную запись, злоумышленники принялись публиковать от лица Дорси оскорбительный и расистский контент, и даже утверждали, будто в штаб-квартире компании заложена бомба. Ответственность за эту атаку взяла на себя хак-группа Chuckle Gang.
Согласно официальным данным, атака произошла по недосмотру мобильного оператора, который допустил компрометацию и позволил неавторизованному лицу использовать телефонный номер Дорси для отправки SMS-сообщений. Дело в том, что до недавнего времени Twitter можно было использовать посредством SMS-сообщений, что было довольно популярно еще на заре появление сервиса. Главное условие: чтобы эту функциональность поддерживал оператор связи. Когда-то ограничение в 140 символов появилось именно из-за этого: из-за максимальной длины SMS-сообщений.
Об этой «слабости» Twitter было известно давно. Так, еще в конце 2018 года эксперты компании Insinia Security предупреждали об опасности использования SMS-сообщений в качестве второго фактора для аутентификации и объясняли, чем чревато использование функциональности Twitter через SMS. Хуже того, в сети можно найти статьи об опасности этой функциональности, датированные 2007 и 2009 годами.
Проблема в том, что в последние годы злоумышленники все чаще «угоняют» SIM-карты пользователей, осуществляя так называемый SIM swap. Суть таких атак заключается в том, что преступник обращается к представителям сотового оператора своей жертвы и применяет социальную инженерию. К примеру, выдавая себя за настоящего владельца номера, злоумышленник заявляет, что потерял или сломал SIM-карту и добивается переноса номера на новую SIM-карту. Затем злоумышленники воруют привязанные к номеру телефона учетные записи, фактически похищая чужие личности полностью. Такие атаки часто используются для кражи крупных сумм в криптовалюте или компрометации дорогих Instagram-аккаунтов.
Теперь разработчики Twitter сообщили, что после взлома Дорси они приняли решение отключить функциональность отправки твитов через SMS-сообщения. Подчеркивается, что отключение носит временный характер, однако сроки возобновления работы этой функции пока не называются. Интересно, что при этом разработчики в некоторой степени перекладывают вину на мобильных операторов, отмечая, что тем нужно исправить уязвимости на своей стороне.
We’re taking this step because of vulnerabilities that need to be addressed by mobile carriers and our reliance on having a linked phone number for two-factor authentication (we’re working on improving this).
— Twitter Support (@TwitterSupport) September 4, 2019