Służby specjalne czy znudzeni nastolatkowie z piwnic domu rodziców? Chcieli zarabiać czy szpanować? Przekupili pracowników Twittera czy ich zhakowali? Na jaw wychodzi coraz więcej szczegółów incydentu, a niektóre są zaskakujące.
Twitter to nie Cloudflare, więc nie spodziewamy się szczegółowej analizy poincydentalnej, ale na szczęście pojawiło się kilka wiarygodnych historii rzucających więcej światła na okoliczności spektakularnego włamania sprzed trzech dni.
Login i hasło ze Slacka
The New York Times twierdzi, że udało mu się przeprowadzić rozmowy z włamywaczami i dziennikarze gazety otrzymali historie czatów i zrzuty ekranów, pokazujące przebieg wydarzeń pamiętnego 15 lipca. Artykuł jest długi, ale po wyciśnięciu wody i odsączeniu mięsa dowiadujemy się, że cała historia zaczęła się dzień wcześniej, 14 lipca, gdy na pewnym kanale Discorda użytkownik Kirk oznajmił, że jest pracownikiem Twittera i może przejąć dowolne konto. Kirk na tym kanale pojawił się zaledwie 7 dni wcześniej. Wkrótce potem udowodnił swoje magiczne moce innym rozmówcom. Mógł nie tylko ustalać, jaki adres e-mail kryje się za loginem Twittera, ale także przejąć dowolne konto. Pokazał także zrzuty ekranu wewnętrznych narzędzi Twittera.
NYT opiera swoją historię na rozmowach i dowodach przedstawionych przez dwóch innych uczestników zabawy. Pierwszy, pod pseudonimem „lol”, jest około dwudziestki i mieszka na zachodnim wybrzeżu USA, drugi „ever so anxious”, ma 19 lat i mieszka w Wielkiej Brytanii z matką. Według tego pierwszego Kirk najprawdopodobniej nie był pracownikiem Twittera – działał tak, jakby zależało mu na wyrządzeniu jak największej szkody firmie i nie miał żadnych zahamowań w swoich poczynaniach.
Zarówno „lol”, jak i „ever so anxious” są znanymi użytkownikami forum OGusers.com, zrzeszającego osoby zajmujące się przejmowaniem krótkich i atrakcyjnych loginów na popularnych platformach społecznościowych. W środę rano Kirk zaproponował im funkcję pośredników w sprzedaży jego usług innym internautom. Skorzystali z propozycji. Doszło między innymi do przejęcia takich kont Twittera jak @y, @dark, @w, @l, @50 czy @vague, a środki za ich przejęcie trafiały na ten sam portfel bitcoina, który był później szerzej użyty w atakach.
Inny użytkownik forum OGusers.com o pseudonimie PlugWalkJoe kupił konto @6. Ten sam PlugWalkJoe twierdzi, że dowiedział się, że Kirk uzyskał dostęp do infrastruktury Twittera po tym, jak udało mu się wejść na firmowy kanał Slacka. Tam znalazł poświadczenia pozwalające na dostęp do panelu administratora oraz sposób na połączenie się z samym panelem. Z kolei CNN ustalił, że dostęp do panelu administracyjnego wymagał obecności w wewnętrznej firmowej sieci lub dostępu VPN – obstawiamy zatem ten drugi wariant.
Kirk po kilku godzinach przestał handlować kontami, a wkrótce potem zaczął się Armagedon w postaci kont słynnych postaci publikujących wiadomości włamywacza. Sugeruje to, że to Kirk postanowił zmienić model zarobkowy i przerzucił się ze sprzedaży dostępów na wyłudzenia bitcoinów.
Informacje od Twittera
Sam Twitter opublikował dzisiaj aktualizację wyników śledztwa, w których informuje, że na celowniku włamywaczy znalazło się 130 kont. Dla każdego z tych kont mogli oni zobaczyć przypisane do nich adres e-mail i numer telefonu. Dodatkowo dla 45 kont zainicjowali proces resetu hasła i przejęli nad nimi kontrolę. Ponadto z nie więcej niż z 8 kont pobrali pełne archiwa informacji za pomocą funkcji „eksportuj moje dane”. Twitter zaznacza jednak, że wśród tych 8 kont nie było żadnego o statusie „zweryfikowany” – zatem prawdopodobnie nie doszło np. do kradzieży prywatnych wiadomości Elona Muska czy Baracka Obamy.
Niestety Twitter do tej pory nie przedstawił spójnej historii wydarzeń, zasłaniając się trwającym śledztwem. Trzeba jednak przyznać, że scenariusz przedstawiony przez NYT brzmi bardzo prawdopodobnie – w końcu z reguły chodzi o sławę i pieniądze.
Komentarze
a jak się zabezpieczali? czy Discord i forum OGusers.com są wyjęte spod prawa?
discord to bardzo popularny komunikator, odpowiednik TeamSpeak i gg, jego działanie bazuje na fotum
og to zamknięty forum wspólnoty specyficznych ludzi, mocno trzyma się z dala od typowych trendy BLM, płaskoziemczy itp
fakt ze znalazło się kilka świrów, ja od prawie 4 lat zyje w discu i mnie juz powoli nic nie dziwi
oba nie są wyjęte spod prawa, to w pełni legalne strony
no ale są tam hakerzy sim swapperzy i namierzenie ich zajmuje lata albo wieczność (i jeszcze się kończy że namierzają niewłaściwe osoby)
więc są dwie opcje:
-dobrze się zabezpieczają (jak?)
-można na te strony wejść bez zabezpieczeń i być wyjętym spod prawa
Brzmi jak amator, mam nadzieję że go nie złapią.
Dlaczego nie.mozna zoomować waszej strony na komórce? Bęcki się należą panu/pani od CSS.
To prawda jest to uciążliwe. Wtedy przełączam na wersję dla komputerów i spokojnie można zoomowac
Security first. :D
Jak nie można jak można? Elegancko i normalnie działa.
To Amerykanie nikt poza nimi i mną nie wie kto to jest Joe Bajden.
Warto tez zwrocic uwage na KLAMSTWA twittera. Dwa przyciski w panelu admina (search blacklist, trends blacklist) to cicha i niewidzialna cenzura. Oficjalnie nie zablokuja niewygodnej wiadomosci, ale sprawia, ze nie bedzie ona tak bardzo widoczna. To samo z wyszukiwaniem konta. Gdy konto trafi na czarna liste, nie bedzie mozna znalezc konta przez wyszukiwarke, ale oficjalnie konto nie jest zablokowane.
Twitter byl w przeszlosci wielokrotnie oskarzany o cicha cenzure i zawsze wypieral sie, ze nic takiego nie istnieje.
Tyle sa warte slowa korporacji.
Podaj przykład takiego zablokowanego nieodnajdywalnego konta, bo na razie to brzmi jak teoria spiskowa dorobiona do guzika ze screenshota.
Wikipedia „shadow banning”:
„(…) In a study that looked at tweets from 2014 to early 2015, over a quarter million tweets were found during the one-year period in Turkey to have been censored via shadow banning.[14] Twitter was also found, in 2015, to shadowban tweets containing leaked documents in the US (…)
Twitter said that the use of the phrase „shadow banning” was inaccurate, as the tweets were still visible by navigating to the home page of the relevant account.[29] Later, Twitter appeared to have adjusted its platform to no longer limit the visibility of some accounts(…)”
Tak jakby sami się przyznali.
Shadow ban nie jest niczym nowym, praktyka stosowana jeszcze za czasów popularności forów internetowych.
A mógł rzucić na slacku „mam admina na twiterze, jak mogę najwięcej na tym zarobić”, nie byłoby farsy.
Odpowiedź wbrew pozorom nie jest prosta. Najlepiej oczywiście liczyć że wiadomości spowodują tąpnięcie w danej dziedzinie (giełda, BTC, surowce) i robienie kasy na spadkach/wzrostach. Ale zysk jest procentem od udziałów, więc dla dużego zysku trzeba mieć duży wkład własny. No i trzeba mieć odpowiedni warsztat i stalowe jaja, żeby uniknąć straty kasy, blokad kont itp.
Więc bitcoiny to nie taka głupia opcja. Do tego jeszcze ze znanych kont, presja czasu i przy niskim ryzyku spory zysk.