Взлом

Ранее на этой неделе компания Twitter столкнулась с самой масштабной атакой за все время своего существования. Напомню, что массовой компрометации подверглось множество аккаунтов публичных людей, компаний, криптовалютных бирж и так далее. Так, среди пострадавших были: Билл Гейтс, Илон Маск, Джефф Безос, Джо Байден, Барак Обама, Уоррен Баффет, Канье Уэст, Ким Кардашян, компании Apple и Uber, крупнейшие криптовалютные биржи CoinDesk, Binance и Gemini, а также многие, многие другие.

Полученным доступом к топовым аккаунтам неизвестные злоумышленники воспользовались весьма странным образом: устроили фальшивую раздачу биткоинов. Сообщения хакеров сулили пользователям огромные прибыли (если те сначала отправят на указанный адрес немного биткоинов). Мошенники действовали по классической скамерской схеме: просили прислать им небольшое количество криптовалюты, обещая удвоить и вернуть любую полученную сумму.

Как ранее заявили представители Twitter, в корне случившегося лежала скоординированная атака на сотрудников компании с применением социальной инженерии. В результате злоумышленники смогли получить доступ к неназванным внутренним системам и инструментам, чем они и воспользовались, захватив контроль над множеством популярных аккаунтов.

Стремясь снизить риски, инженеры Twitter пошли на крайнюю меру, которую сами называют «разрушительной» и превентивно заблокировали огромный кластер учетных записей (даже не подвергавшихся атаке на первый взгляд), ограничив для них публикации и другие функции, включая сброс паролей.

Ход расследования

Теперь на странице поддержки Twitter появились новые сообщения и детали. Так, представители социальной сети рассказали, что блокировка аккаунта еще означает, что тот был скомпрометирован. Оказывается, в целях безопасности были заблокированы все аккаунты, для которых за последние 30 дней осуществлялся сброс паролей или хотя бы попытка сброса. При этом социальная сеть не планирует сбрасывать пароли пользователей, так как к ним злоумышленники доступ не получили.

В настоящее время блокировки уже понемногу отменяют (это может занять какое-то время, так как специалисты тщательно проверяют, что возвращают доступ настоящему владельцу аккаунта), но многие пользователи по-прежнему могут не иметь возможности сменить пароль или писать сообщения. Также временно не работает функция скачивания всех данных и сообщений.

Также специалисты компании пишут, что атака, судя по всему, затронула сравнительно небольшое количество учтенных записей. Так, по последним данным, взлом коснулся лишь 130 аккаунтов. Для 45 из них были успешно сброшены пароли и произведена компрометация. Еще для 8 учетных записей злоумышленники скачали все доступное содержимое аккаунта, воспользовавшись функцией Your Twitter Data. Интересно, что ни один из этих 8 аккаунтов не был верифицирован (не имел синей "галочки").

В компании все еще проверяют, к какой еще информации пользователей взломщики могли получить доступ (к примеру, личные сообщения, отложенные и сохраненные твиты), но пока никакой конкретики об этом Twitter не сообщает.

Кто стоит за взломом

Пока представители Twitter не давали никаких комментариев о том, кто мог стоять за данной атакой. Из-за этого в сети, вполне предсказуемо, множатся слухи различной степени достоверности.

В частности, издание TechCrunch, со ссылкой на собственные источники в хакерском андеграунде, пишет, что за данной атакой стоял некий хакер, известный под псевдонимом Kirk. По информации журналистов, во время инцидента Kirk не только устроил фейковую раздачу криптовалюты, принесшую ему около 120 000 долларов, но и активно использовал инструмент для сброса связанных с аккаунтами email-адресов, чтобы их владельцами было труднее вернуть контроль.

Сообщается, что раньше Kirk занимался продажей доступов к популярным учетным записям Twitter, включая торговлю простыми и узнаваемыми username’ами. Дело в том, что некоторые имена могут стоить от нескольких сотен до нескольких тысяч долларов.

Однако во время массовой атаки на Twitter хакер уже ломал и захватывал не конкретные учетные записи, а имел доступ к внутреннему инструменту Twitter, который позволял эффективно контролировать учетные записи пользователей. Этот инструмент можно увидеть на скриншотах, которые были предоставлены изданиям TechCrunch и Vice Motherboard, собственными источниками. Как мы уже сообщали ранее, Twitter активно удаляет эти скриншоты со своей платформы и банит тех, кто их публикует (отредактированные версии можно увидеть ниже).

 

Дело в том, что на этих скриншотах видно, что сотрудники Twitter имеют возможность контролировать учетные записи пользователей, включая изменение адресов электронной почты, привязанных к аккаунтам, и полную блокировку учетных записей. Кроме того, кнопки «Search blacklist» и «Trend blacklist» прямо указывают на то, что сотрудники компании могут определять, какие сообщения попадают в поиск и тренды платформы, а какие нет.

В ответ на поднявшуюся волну критики и обвинения в цензуре, сотрудники Twitter отметили, что компания никогда не скрывала того факта, что не все, что пишут пользователи, может попадать в тренды:

Также интересно, что уже упомянутое выше издание Vice Motherboard пишет, что «скоординированная атака на сотрудников компании с применением социальной инженерии» была обычной инсайдерской работой. То есть, по информации журналистов и их анонимных источников, хакеры попросту подкупили сотрудника Twitter, чтобы получить доступ к той самой административной панели.

Если это окажется правдой, то это будет не первый подобный инцидент в Twitter. Так, в 2017 году один из сотрудников социальной сети на некоторое время удалил учетную запись президента США Дональда Трампа, а в 2019 году Министерство юстиции США сообщало, что два сотрудника Twitter злоупотребляли своим доступом для шпионажа в пользу Саудовской Аравии.

Последствия

К расследованию произошедшего уже подключились специалисты ФБР, а генпрокурор Нью-Йорка Летиция Джеймс заявила, что атака на Twitter вызывает серьезные опасения по поводу безопасности данных и того, как подобные платформы могут быть использованы для нанесения вреда общественным дебатам. Прокуратура тоже начала собственное расследование.

Сенатор Рон Уиден, в свою очередь, задается вопросом, почему социальная сеть не реализовала сквозное шифрование для личных сообщений, хотя еще в 2018 году работала над этой функциональностью. Его поддержала активистка Ева Гальперин из Electronic Frontier Foundation, которая пишет:

«Twitter сейчас не пришлось бы беспокоиться о том, что злоумышленник могли прочитать, похитить или изменить личные сообщения, если бы они внедрили e2e для личных сообщений, как EFF просил их годами».

Еще один американский сенатор, Джош Хоули, призвал Twitter сотрудничать с властями, включая Министерство юстиции и ФБР, для обеспечения безопасности.

«Я обеспокоен тем, что это событие могло представлять собой не просто набор отдельных инцидентов, а скорее успешную и скоординированную атаку на безопасность самой компании Twitter», — говорит Хоули, уже попросивший главу Twitter Джека Дорси предоставить властям дополнительную информацию об инциденте.

 

1 комментарий

  1. Аватар

    miradmin

    18.07.2020 в 17:47

    «…почему социальная сеть не реализовала сквозное шифрование для личных сообщений…»
    А иначе, сотрудники и их хозяева не смогут читать эти сообщения и торговать ими.

Оставить мнение