Bezpieczeństwo

Atak na Twittera. Przejęto konta m.in. Bezosa i Muska

 

W lipcu b.r. doszło do najprawdopodobniej największego ataku w historii Twittera konta Baracka Obamy, Joe Bidena, Jeff Bezosa i Elona Muska zostały przejęte przez hakerów.  Cyberprzestępcy nie oszczędzili też kont firmowych, hakując między innymi konta należące do Apple, Uber czy Crash App. Po włamaniu, niektóre opublikowały komunikat o rzekomej akcji charytatywnej: „Wyślij pieniądze w bitcoinach na dany adres, a zwrócimy podwójną sumę! Akcja jest naszym sposobem na pomaganie społeczeństwu (m.in. w dobie COVID-19)”. 

Atak na twittera

Zrzut ekranu wiadomości opublikowanej na koncie Apple w ramach serwisu Twitter. Wariantów tej wiadomości było kilka. Tłumaczenie własne. Oryginalny tekst w Tweecie Baracka Obamy „I am giving back to the community due to Covid-19! All bitcoin sent to my address will be sent back doubled. If you send $1,000 I will send you back $2,000! [Adres bitcoina]. Only doing this for the next 30 minutes. Enjoy!”. Źródło.

Przejęcie 130 kont może nie zalicza się do największego ataku, jeśli chodzi o rozmiar utraty danych lub wycieku haseł. Istotne natomiast jest to, że ofiarą ataku padły osoby i instytucje, których opinia, wyrażona publicznie, może przyczynić się do wielkich skutków ekonomicznych lub geopolitycznych. 

Jak doszło do ataku?

Twitter od dawna pozwala użytkownikom na  uwierzytelnienie dwuetapowe (ang. two factor authentication), więc mogłoby się wydawać, że konta na tej platformie są rzetelnie zabezpieczone. Two Factor Authentication polega na weryfikacji logowania się do konta poprzez np. wprowadzenie numerycznego hasła z SMS-a wysłanego na wcześniej podany numer. W teorii uniemożliwia to łatwe przejęcie konta poprzez skompromitowanie np. jednego urządzenia i używanie hasła do wtórnego zalogowania się przez osobę atakującą.

Do tej pory Twitter nie przyjął jasnego stanowiska co do tego, jak doszło do zhakowania. Wiemy jednak, że istnieje kilka możliwości przejęcia kont korzystających z weryfikacji dwuetapowej. W przypadku lipcowego ataku na Twittera, środowisko cyber rozważa dwa warianty.

SIM swap i atak socjotechniczny

Biorąc pod uwagę fakt, że telefon domyślnie służy jako narzędzie do ponownego potwierdzenia tożsamości użytkownika, celem hakerów jest przechwycenie przychodzących wiadomości SMS. Osiągnięcie tego celu jest technicznie bardzo trudne: wymaga specyficznej wiedzy o konteneryzacji i systemach Linux, namierzenia smartfona ofiary i (najczęściej) sprowokowanie jego właściciela do zainstalowania pliku zawierającego złośliwy kod. Znacznie łatwiejszy jest atak socjotechniczny na firmę świadczącą usługi telefoniczne. Wystarczy poprosić operatora telefonii komórkowej o przekierowanie SMS-ów na inny telefon i… cel osiągnięty! Zabezpieczenie za pomocą weryfikacji dwuetapowej zostało złamane.

Choć wydawać by się mogło, że osiągnięcie tego celu u operatora telefonii byłoby trudne ze względu na liczne procedury związane z bezpieczeństwem danych, dużo kont Twittera pada ofiarą właśnie takiego typu ataku. Hakerzy zbierają informacje o swojej ofierze z różnych źródeł, m.in. z mediów społecznościowych, publikacji, wiadomości i materiałów reklamowych. Czasami istnieje też możliwość zakupienia pewnego zbioru informacji – bazy danych o osobach, gdy są one celebrytami lub zajmują stanowiska eksponowane. 

Uzbrojeni w wiedzę i możliwość szybkiego znalezienia dodatkowych informacji, hakerzy dzwonią lub piszą do operatora komórkowego z prośbą o zmianę numeru karty SIM, która obsługuje dany numer telefonu. Podczas rozmowy uwierzytelniają się przez poprawne odpowiadanie na pytania weryfikujące i tłumaczą, że właśnie zgubili swój smartfon i nie chcieliby stracić obecnego numeru telefonu. Operator, mając na uwadze dobro klienta, przychyla się do ich prośby. Numer telefonu zostaje przypisany do nowej karty SIM, którą posiada haker. Ten natomiast szybko resetuje hasła lub adresy mailowe kont, które mogłyby używać SMS-ów do potwierdzenia tożsamości. Gdzie to możliwe, wyłącza też dalszą weryfikację dwuetapową.

Naturalnie, ofiara takiego ataku dość szybko orientuje się, że jej numer telefonu został przypisany innej osobie – telefon po prostu przestaje działać. Niemniej, nawet jedna godzina to wystarczająca ilość czasu, aby dobrze zorganizowani hakerzy zmienili dane dostępu do kont  – takich jak Twitter – na inne numery telefonu i inne adresy mailowe.

Insiderzy

Drugą metodą włamania się do kont jest zwykłe przekupstwo. Według operatora komórkowego Verizon, który corocznie publikuje „Insider Threat Report”, problem tak-zwanych insiderów rośnie z roku na rok. Insiderzy to osoby mające dostęp do informacji poufnych. Verizon sklasyfikowało 5 typów insiderów, odpowiedzialnych za 34% wszystkich wycieków danych:

  1. Nieostrożny pracownik – osoba, która celowo (choć może z niewiedzy) łamie lub obchodzi zasady dopuszczalnego użytkowania systemów teleinformatycznych. Do tego typu zachowań możemy zaliczyć np. wyłączanie zabezpieczeń lub instalowanie nieautoryzowanych wtyczek na komputerach służbowych.
  2. Agent wewnętrzny to osoba mająca dostęp do informacji poufnych, nieświadomie zrekrutowana lub przekupiona z zewnątrz w celu przekazywania danych.
  3. Niezadowolony pracownik ma dostęp do poufnych informacji i usiłuje zaszkodzić swojej organizacji, niszcząc dane albo zakłócając jej działalność. Mogą to być np. osoby, które odchodzą z zespołu lub czują się pokrzywdzeni przez pracodawcę.
  4. Złośliwy informator – pracownik z dostępem do danych, który wykorzystuje nadane mu w systemie uprawnienia dla osobistego zysku. Może być motywowany prowizją od okupu podczas ataku typu ransomware, lub np. pracować na zlecenie konkurencji.
  5. Beztroska trzecia strona to partner lub kontrahent, który przez swoje zaniedbania w dziedzinie bezpieczeństwa naraża nas na wyciek danych. 

W wypadku lipcowego przejęcia kont Twittera, najprawdopodobniej mamy do czynienia z agentem wewnętrznym, który został przekupiony przez hakerów w celu udostępnienia loginu do wewnętrznego panelu administracyjnego Twittera. O takim stanie rzeczy świadczą liczne zrzuty ekranu, publikowane przez grupę hakerską, która przedstawia coś, co Twitter nazywa Agent Tools lub Twitter Services UI (W związku z tym, że zrzuty ekranu przedstawiają wewnętrzne narzędzia pracowników Twittera, nie publikujemy ich tutaj). Używając panelu administracyjnego, należącego do pracownika Twittera, hakerzy z łatwością mogliby masowo przypisać konta do innych adresów mailowych lub ręcznie ustawić inny numer telefonu do weryfikacji dwuetapowej.

Insiderem może stać się każdy

Niewykluczone jest też, że to pracownik Twittera, którego dane do logowania zostały wykorzystane przez hakerów, nieumyślnie stał się insiderem. Starannie przygotowane ataki socjotechniczne potrafią wprowadzić w błąd nawet osoby, które uważane są za autorytety w dziedzinie IT. Dobrym przykładem jest atak na Jeffa Bezosa, który miał swoje korzenie w ataku socjotechnicznym, polegającym na odebraniu wiadomości na komunikatorze WhatsApp. Istnieje więc możliwość, że osoba posiadająca dostęp do panelu administratora, po prostu padła ofiarą starannie przygotowanego ataku socjotechnicznego, a po przedostaniu się do wewnątrz sieci Twittera, hakerzy zajęli się kontami firm, biznesmenów i celebrytów.

Atak na twittera – konsekwencje

W jednym i drugim wariancie może dojść do konsekwencji prawnych. Jeżeli atak metodą SIM swap tym razem okazał się skuteczny, operatorzy usług komórkowych będą zmuszeni przemyśleć sposób zdalnej weryfikacji tożsamości swoich klientów przed podejmowaniem jakichkolwiek czynności, które mogą ingerować w ich prywatność (np. otrzymywanie wiadomości SMS). Jednocześnie jakiekolwiek zmiany w tej dziedzinie skazane są na długą drogę do osiągnięcia kompromisu: z jednej strony klienci spodziewają się wygodnej, zdalnej obsługi, z drugiej – bezpieczeństwa swoich kont. Możliwe jest, że weryfikacja telefoniczna poprzez odpowiadanie na pytania przejdzie do historii i zostanie zastąpiona czymś zupełnie innym.

Jeżeli drugi wariant się spełnił, tzn. doszło do przekupienia pracownika Twittera, najprawdopodobniej zostanie on/ona pociągnięty do konsekwencji finansowo-prawnych. Nie oznacza to, niestety, końca takich sytuacji. Sprzedawanie danych firm jest lukratywnym biznesem dla osób, które czują się nieadekwatnie wynagradzane lub odchodzą od pracodawcy. Tego typu transakcje często odbywają się w  Darknecie, czyli szyfrowanym, anonimizowanym Internecie. Wypłaty przekazywane są w formie kryptowalut. Niektóre organizacje hakerskie oferują gwarancję anonimowości i wypłaty środków, w przypadku gdyby np. przez uzyskany login, wykradli cenne dane, zaszyfrowali je lub zażądali okupu.

Natomiast jeżeli pracownik Twittera stał się insiderem przez własną nieuwagę, prawdopodobnie niewiele mu grozi. Błędy zdarzają się każdemu i zależnie od obowiązującego prawa pracy, istnieje możliwość, że żadne konsekwencje finansowo-prawne nie dotkną tej osoby. Biorąc to pod uwagę, z punktu widzenia przedsiębiorcy, warto jest inwestować w wiedzę swoich pracowników, aby unikać takich sytuacji. Twitter to gigant w świecie biznesu, więc obecna sytuacja prawdopodobnie zaledwie nieznacznie odbije się na zaufaniu do marki lub dochodach firmy. Dla małych i średnich firm, natomiast, taka sytuacja może zakończyć się brakiem zaufania kluczowych klientów i w efekcie tego zakończeniem działalności.

Oceń artykuł:


29.07.2020