Kto, jak i dlaczego włamał się do Twittera w pamiętnym incydencie

dodał 18 lipca 2020 o 22:05 w kategorii Info, Włamania, Wpadki  z tagami:
Kto, jak i dlaczego włamał się do Twittera w pamiętnym incydencie

Służby specjalne czy znudzeni nastolatkowie z piwnic domu rodziców? Chcieli zarabiać czy szpanować? Przekupili pracowników Twittera czy ich zhakowali? Na jaw wychodzi coraz więcej szczegółów incydentu, a niektóre są zaskakujące.

Twitter to nie Cloudflare, więc nie spodziewamy się szczegółowej analizy poincydentalnej, ale na szczęście pojawiło się kilka wiarygodnych historii rzucających więcej światła na okoliczności spektakularnego włamania sprzed trzech dni.

Login i hasło ze Slacka

The New York Times twierdzi, że udało mu się przeprowadzić rozmowy z włamywaczami i dziennikarze gazety otrzymali historie czatów i zrzuty ekranów, pokazujące przebieg wydarzeń pamiętnego 15 lipca. Artykuł jest długi, ale po wyciśnięciu wody i odsączeniu mięsa dowiadujemy się, że cała historia zaczęła się dzień wcześniej, 14 lipca, gdy na pewnym kanale Discorda użytkownik Kirk oznajmił, że jest pracownikiem Twittera i może przejąć dowolne konto. Kirk na tym kanale pojawił się zaledwie 7 dni wcześniej. Wkrótce potem udowodnił swoje magiczne moce innym rozmówcom. Mógł nie tylko ustalać, jaki adres e-mail kryje się za loginem Twittera, ale także przejąć dowolne konto. Pokazał także zrzuty ekranu wewnętrznych narzędzi Twittera.

Przykłady paneli administracyjnych

NYT opiera swoją historię na rozmowach i dowodach przedstawionych przez dwóch innych uczestników zabawy. Pierwszy, pod pseudonimem „lol”, jest około dwudziestki i mieszka na zachodnim wybrzeżu USA, drugi „ever so anxious”, ma 19 lat i mieszka w Wielkiej Brytanii z matką. Według tego pierwszego Kirk najprawdopodobniej nie był pracownikiem Twittera – działał tak, jakby zależało mu na wyrządzeniu jak największej szkody firmie i nie miał żadnych zahamowań w swoich poczynaniach.

Zarówno „lol”, jak i „ever so anxious” są znanymi użytkownikami forum OGusers.com, zrzeszającego osoby zajmujące się przejmowaniem krótkich i atrakcyjnych loginów na popularnych platformach społecznościowych. W środę rano Kirk zaproponował im funkcję pośredników w sprzedaży jego usług innym internautom. Skorzystali z propozycji. Doszło między innymi do przejęcia takich kont Twittera jak @y, @dark, @w, @l, @50 czy @vague, a środki za ich przejęcie trafiały na ten sam portfel bitcoina, który był później szerzej użyty w atakach.

Inny użytkownik forum OGusers.com o pseudonimie PlugWalkJoe kupił konto @6. Ten sam PlugWalkJoe twierdzi, że dowiedział się, że Kirk uzyskał dostęp do infrastruktury Twittera po tym, jak udało mu się wejść na firmowy kanał Slacka. Tam znalazł poświadczenia pozwalające na dostęp do panelu administratora oraz sposób na połączenie się z samym panelem. Z kolei CNN ustalił, że dostęp do panelu administracyjnego wymagał obecności w wewnętrznej firmowej sieci lub dostępu VPN – obstawiamy zatem ten drugi wariant.

Kirk po kilku godzinach przestał handlować kontami, a wkrótce potem zaczął się Armagedon w postaci kont słynnych postaci publikujących wiadomości włamywacza. Sugeruje to, że to Kirk postanowił zmienić model zarobkowy i przerzucił się ze sprzedaży dostępów na wyłudzenia bitcoinów.

Informacje od Twittera

Sam Twitter opublikował dzisiaj aktualizację wyników śledztwa, w których informuje, że na celowniku włamywaczy znalazło się 130 kont. Dla każdego z tych kont mogli oni zobaczyć przypisane do nich adres e-mail i numer telefonu. Dodatkowo dla 45 kont zainicjowali proces resetu hasła i przejęli nad nimi kontrolę. Ponadto z nie więcej niż z 8 kont pobrali pełne archiwa informacji za pomocą funkcji „eksportuj moje dane”. Twitter zaznacza jednak, że wśród tych 8 kont nie było żadnego o statusie „zweryfikowany” – zatem prawdopodobnie nie doszło np. do kradzieży prywatnych wiadomości Elona Muska czy Baracka Obamy.

Niestety Twitter do tej pory nie przedstawił spójnej historii wydarzeń, zasłaniając się trwającym śledztwem. Trzeba jednak przyznać, że scenariusz przedstawiony przez NYT brzmi bardzo prawdopodobnie – w końcu z reguły chodzi o sławę i pieniądze.