Co można zrobić, jeśli ma się kontrolę nad dowolnym wybranym kontem Twittera? Można ogłosić koniec świata, można powiadomić firmę i zgarnąć bug bounty, ale można też je sobie wypłacić, kradnąc cudze krytpowaluty. Ktoś wybrał to ostatnie.
Przez Twittera przewija się właśnie niespotykana fala wpisów z kont obserwowanych przez miliony osób – każdy z wpisów obiecuje oddać 2N kryptowaluty, jeśli przelejecie N kryptowaluty na wskazany adres. To znany schemat oszustwa – lecz po raz pierwszy przestępcy używają prawdziwych kont o takich zasięgach. Kto został zhakowany? A kto nie został…
Krótka lista ofiar
Oszustwo pojawiło się na koncie Elona Muska (w końcu na prawdziwym)
Billa Gatesa
Ubera
Apple’a
Bitcoina
Co tam się stało?
To bardzo ciekawy atak, bo obstawiamy, że wiele z ww. kont miało włączone dwuskładnikowe uwierzytelnienie. Albo atakujący dostali się do infrastruktury Twittera, albo znaleźli ciekawy błąd, umożliwiający publikowanie z cudzych kont. Czekamy na wyjaśnienia Twittera – to będzie interesująca lektura.
Aktualizacja 23:20
Kolejne konta przybywają – Kanye West, Mike Bloomberg, Jeff Bezos, Warren Buffet, Joe Biden. Pod tym linkiem możecie obserwować sytuację na żywo. W portfelu złodziei już ok. 11 BTC.
Jedna z teorii mówi – podobnie jak nasze podejrzenia – że to przejęte konto pracownika Twittera (dostęp do narzędzi administracyjnych):
Aktualizacja 23:35
To naprawdę poważny problem Twittera. Konto Muska publikuje już trzeci wpis o tej samej treści. Ktoś jeden usuwa, pojawia się drugi. Nikt tego nie kontroluje, wygląda jakby ktoś odciął administratorów Twittera od konsoli. Do listy dołącza też Barack Obama. Lista ofiar to de facto lista sław Twittera – nie wystarcza już niebieski znaczek, trzeba być naprawdę popularnym!
Aktualizacja 23:45
Wygląda na to, że przejęte konta mają zmieniony adres e-mail – na to wskazują informacje z procesu resetu hasła. Wygląda też, że proces resetu hasła dla przejętych kont został właśnie zmieniony.
Warto zauważyć, że gdy ktoś przejął w 2013 konto Twittera agencji Associated Press, to publikując newsa o rzekomym zamachu na Obamę, załamał na chwilę amerykańską giełdę. Widać, że tym razem mamy do czynienia z amatorami – podobnymi do tych, którzy w 2017 przejęte konta wykorzystali do publikacji tureckiej propagandy.
Napływ bitcoinów zmalał – Coinbase umieściło już adres docelowy na czarnej liście. Zareagowali szybciej od Twittera…
Twitter W KOŃCU zaczął blokować tweety z feralnym adresem portfela BTC. Lepiej późno niż wcale. Można iść spać.
Aktualizacja 9:40
Twitter potwierdził, że wektorem ataku był dostęp po stronie panelu administracyjnego. Jak to możliwe, że ktoś z zewnątrz mógł dostać się do infrastruktury Twittera i pozostać w niej tak długo? To będzie ciekawe wyjaśnienie – o ile się jakiegokolwiek doczekamy.
Komentarze
no, i Intytucje rządowe w najlepsze używają Twitterow i innych Facebookow do publikowania informacji
Jest już domena z ostrzeżeniem:
https://bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh.com
Ciekawe, dlaczego z konta Trumpa nie wysłano takiego Tweeta. W adresie z artykułu jest m.in. taki Tweet:
Hearing it was an employee who had permissions to post as anyone, except Trump, who has added security to his account, hence they didn’t get his account.
Trump udowodnił że ma prawo do wolności pisania nawet nieprawdy.
Ciekawe jaką są historie gdy mamy listę blaclistowane nawet stare to jak jest z ratowaniem takich pieniędzy ? Albo dobrze namierzanie tych portfeli nawet po mikserach i po monero uzywaniu
Nie ma ratunku dla glupoty i chciwosci.
I jak to jest możliwe??? Przecież Barack Obama jest ciągle chroniony przez Secret Service. Może słabe hasło z innego wycieku?
Nie wiem czy ktoś zauważył, ale kampania jest szersza. Od ok. tygodnia na Youtube są bardzo agresywnie wyświetlane (po kilka razy na filmik) reklamy „BTC/ETH AIRDROP” zachęcające do „otrzymania” 2N kleptowaluty i podpierające się fragmentami wywiadów z różnymi postaciami kleptowalutowego świata. Początkowo myślałem, że po prostu pompują pod pump’n’dump ale jednak kradną wprost.
Moze w koncu swiat zrozumie, ze do publikowania waznych informacji nie uzywa sie prywatnego gowna, nad ktorym nie ma sie zadnej kontroli?
Czy to nie dziwne że narzędzia w panelu administratora pozwalają na publikowanie postów w czyimś imieniu?
Dokladnie. I to powinno byc naglasniane. Zaden admin na zadnej platformie kominikacji nie powinien miec prawa do pisania czy edycji w imieniu kogos innego. Powinien miec jedynie opcje usuwania niezgodnego z regulaminem czy prawem tekstu. Przy swobodnej mozliwosci pisania przez admina moze dojsc do prowokacji czy manipulacji czyims kontem.
Także nie rozumiem po co taki przypadek użycia. Kasować lub ukrywać to tak, ale po co była możliwość dodawania tweetów?
Chyba, że gość miał bezpośredni dostęp do bazy i sobie mógł wpisać co chciał.
Panel admina najprawdopodobniej pozwalał na zmianę adresu e-mail. Po zmianie napastnicy „odzyskiwali” dostęp do konta. Pozostaje kwestia 2FA. Opcje są dwie – konta nie miały włączonego 2FA, albo z poziomu panelu można wyłączyć również 2FA. Moim zdaniem wygląda to na atak na support odpowiedzialny za odzyskanie dostępu do konta.
Czy zdejmowanie 2FA nie powinno mieć jakiejś ścieżki approvalowej, aby chociaż ktoś takim klepnięciom przyjrzał się jeszcze raz? Wiem, że oni mają tego na tony codziennie, ale wtedy trzeba przejąć więcej kont. Albo chociaż dla poważnych graczy, nie trudno takich filtrować. Chyba, że poszło się bujać jakieś konto super usera twitterowego.
No właśnie. Może napiszecie coś więcej na temat słynnego panelu administratora gdzie są czarne listy, możliwość kasowania trendów i wyszukiwań ? A miało nie być cenzury
No niestety, te informacje o cenzurowaniu tez ocenzurowali, wiadomo.
Zważywszy na to,że konto admina być może pozwala też na przejęcie konta to… chyba nie rozumiesz kwestii technicznych :P
Niestety absurdalne wpisy na profilach polskiej administracji nie są efektem incydentu bezpieczeństwa, a przynajmniej nie po stronie Twittera.
Adamie!
Czy mógłbyś w tytule dać „aktualizacja” jakby jeszcze się coś pojawiło? Ciekawi mnie zakończenie, a boję się, że przegapię jak coś dopiszesz w treści. Z góry dzięki.
Ten dostęp do panelu administracyjnego to najpewniej posłużył do dodania/modyfikacji metody resetowania hasła.
Fajne, fajne. Follow the money.
Twitter „bada” czy nie wyciekly rowniez korespondencje z kont. Jest pewne, ze ci co przejeli konta i dodawali wpisy mieli rowniez mozliwosc podgladniecia prywatnej korespondencji na kontach i dziwne byloby gdyby z tego nie skorzystali. Natura ludzka – ciekawosc. Pytanie czy wykorzystaja taka korespondencje w przyszlosci a moze ona byc wiecej warta niz te bitcoiny. Takiego np. kandydata na prezydenta Joe Bidena czy Elona Muska