Хроника атаки на Twitter. Как поймали хакеров, взломавших социальную сеть

В середине июня 2020 года компания Twitter подверглась самой масштабной атаке за всю историю своего существования. Разбираемся, что известно о взломе, а также изучаем судебные документы, которые проливают свет на то, как арестовали подозреваемых в этой атаке.

Взлом

В середине июня 2020 года компания Twitter пострадала от самой масштабной атаки за всю историю своего существования. Компрометации подверглось множество аккаунтов публичных людей, компаний, криптовалютных бирж. Так, среди пострадавших были: Билл Гейтс, Илон Маск, Джефф Безос, Джо Байден, Барак Обама, Уоррен Баффет, Канье Уэст, Ким Кардашьян, компании Apple и Uber, крупнейшие криптовалютные биржи CoinDesk, Binance и Gemini.

Взломанные аккаунты. Фото: Bleeping Computer

Полученным доступом к топовым аккаунтам злоумышленники воспользовались весьма странным образом: объявили аттракцион неслыханной щедрости и устроили фальшивую раздачу биткойнов. Мошенники действовали по классической скамерской схеме: от лица известных людей и крупных компаний они просили прислать им небольшое количество криптовалюты, обещая удвоить и вернуть любую полученную сумму.

Как ни парадоксально, но даже в 2020 году нашлось немало людей, которые поверили, что Билл Гейтс, Илон Маск и другие известные компании и личности вдруг начали раздавать биткойны. В итоге таким образом мошенники «заработали» примерно 13 BTC, то есть около 120 тысяч долларов.

Причем жертв могло быть и больше, если бы крупные криптовалютные биржи своевременно не заблокировали злоумышленников. К примеру, биржа Coinbase помешала 1100 своим клиентам перевести 30,4 BTC — около 280 тысяч долларов по текущему курсу. Лишь 14 пользователей Coinbase успели отправить криптовалюту на адрес мошенников (на общую сумму около 3000 долларов), прежде чем специалисты внесли его в черный список.

Другие биржи, в том числе Gemini, Kraken и Binance, тоже сообщили, что блокировали переводы средств на кошелек хакеров, хотя их пользователи совершили гораздо меньше попыток транзакций, чем пользователи Coinbase.

Ущерб

По состоянию на начало августа известно, что атака затронула сравнительно небольшое количество учетных записей. Взлом коснулся лишь 130 аккаунтов, и для 45 из них были успешно сброшены пароли — от лица этих учетных записей взломщики размещали мошеннические сообщения.

Еще для семи учетных записей злоумышленники скачали все доступное содержимое аккаунта, воспользовавшись функцией Your Twitter Data. Интересно, что ни один из этих семи аккаунтов не был верифицирован (не имел синей галочки).

Также злоумышленники просматривали личные сообщения владельцев 36 скомпрометированных учетных записей. Причем один из этих аккаунтов принадлежал неназванному нидерландскому политику.

В Twitter подчеркивали, что злоумышленники не могли увидеть предыдущие версии паролей от учетных записей, так как те не хранятся открытым текстом и недоступны через внутренние инструменты компании. Зато сообщалось, что хакеры имели возможность просматривать личную информацию пользователей, включая адреса электронной почты и номера телефонов, видимые для некоторых учетных записей.

Как взломали?

Очень быстро выяснилось, что хакеры не воспользовались какой-либо уязвимостью и не обошли двухфакторную аутентификацию аккаунтов, а попросту добрались до админ-панели Twitter, через которую и управляли чужими аккаунтами. Причем сообщения со скриншотами, доказывающими эту теорию, начали появляться непосредственно в день взлома, но сотрудники Twitter их сразу же удаляли, а тех, кто их публиковал, нещадно банили (отредактированные версии скриншотов можно увидеть ниже).

На этих скриншотах хорошо видно, что сотрудники Twitter имеют возможность контролировать учетные записи пользователей, включая изменение адресов электронной почты, привязанных к аккаунтам, и полную блокировку учетных записей. Кроме того, кнопки Search Blacklist и Trends Blacklist прямо указывают на то, что сотрудники компании могут определять, какие сообщения попадают в поиск и тренды платформы, а какие нет.

На поднявшуюся волну критики и обвинения в цензуре сотрудники Twitter отвечали, что компания никогда и не скрывала: не все, что пишут пользователи, может попадать в тренды.

Лишь 30 июля 2020 года, спустя две недели после инцидента, представители Twitter официально подтвердили, что атака на социальную сеть стала результатом компрометации сразу нескольких сотрудников компании. Выяснилось, что 15 июля 2020 года мошенники устроили фишинговую атаку по телефону и применили против сотрудников социальную инженерию.

Когда учетные данные, похищенные у одного из сотрудников, не дали хакерам доступа к внутренним инструментам Twitter, злоумышленники атаковали других работников компании, у которых были нужные права и доступ.

«Не все атакованные сотрудники имели права для использования инструментов управления учетными записями, но злоумышленники использовали их учетные данные для доступа к нашим внутренним системам и получения информации о наших процессах. Эта информация позволила им атаковать других сотрудников, которые обладали доступом к нашим инструментам поддержки», — пишут представители Twitter.

Журналисты издания Vice Motherboard предположили, что «скоординированная атака на сотрудников компании с применением социальной инженерии» была обычной инсайдерской работой. То есть, по информации журналистов и их анонимных источников, хакеры попросту подкупили сотрудника Twitter, чтобы получить доступ к той самой административной панели.

Стоит отметить, что похожие инциденты в Twitter случались и раньше. Так, в 2017 году один из сотрудников социальной сети на некоторое время удалил учетную запись президента США Дональда Трампа, а в 2019 году Министерство юстиции США сообщало, что два сотрудника Twitter злоупотребляли своим доступом для шпионажа в пользу Саудовской Аравии.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)

  • И сколько теперь этому Керку светит?

Похожие материалы