15.07.2020 | 23:08

Adam Haertle

Poważny atak na Twittera – przejęte konta Apple, Ubera, Muska, Gatesa i wiele innych

Co można zrobić, jeśli ma się kontrolę nad dowolnym wybranym kontem Twittera? Można ogłosić koniec świata, można powiadomić firmę i zgarnąć bug bounty, ale można też je sobie wypłacić, kradnąc cudze krytpowaluty. Ktoś wybrał to ostatnie.

Przez Twittera przewija się właśnie niespotykana fala wpisów z kont obserwowanych przez miliony osób – każdy z wpisów obiecuje oddać 2N kryptowaluty, jeśli przelejecie N kryptowaluty na wskazany adres. To znany schemat oszustwa – lecz po raz pierwszy przestępcy używają prawdziwych kont o takich zasięgach. Kto został zhakowany? A kto nie został…

Krótka lista ofiar

Oszustwo pojawiło się na koncie Elona Muska (w końcu na prawdziwym)

Billa Gatesa

Ubera

Apple’a

Bitcoina

Co tam się stało?

To bardzo ciekawy atak, bo obstawiamy, że wiele z ww. kont miało włączone dwuskładnikowe uwierzytelnienie. Albo atakujący dostali się do infrastruktury Twittera, albo znaleźli ciekawy błąd, umożliwiający publikowanie z cudzych kont. Czekamy na wyjaśnienia Twittera – to będzie interesująca lektura.

Aktualizacja 23:20

Kolejne konta przybywają – Kanye West, Mike Bloomberg, Jeff Bezos, Warren Buffet, Joe Biden. Pod tym linkiem możecie obserwować sytuację na żywo. W portfelu złodziei już ok. 11 BTC.

Jedna z teorii mówi – podobnie jak nasze podejrzenia – że to przejęte konto pracownika Twittera (dostęp do narzędzi administracyjnych):

https://twitter.com/UnderTheBreach/status/1283503488539000840

Tu prawdopodobnie lista domen powiązanych z tym oszustwem.

Aktualizacja 23:35

To naprawdę poważny problem Twittera. Konto Muska publikuje już trzeci wpis o tej samej treści. Ktoś jeden usuwa, pojawia się drugi. Nikt tego nie kontroluje, wygląda jakby ktoś odciął administratorów Twittera od konsoli. Do listy dołącza też Barack Obama. Lista ofiar to de facto lista sław Twittera – nie wystarcza już niebieski znaczek, trzeba być naprawdę popularnym!

Aktualizacja 23:45

Wygląda na to, że przejęte konta mają zmieniony adres e-mail – na to wskazują informacje z procesu resetu hasła. Wygląda też, że proces resetu hasła dla przejętych kont został właśnie zmieniony.

Aktualizacja 23:50

Warto zauważyć, że gdy ktoś przejął w 2013 konto Twittera agencji Associated Press, to publikując newsa o rzekomym zamachu na Obamę, załamał na chwilę amerykańską giełdę. Widać, że tym razem mamy do czynienia z amatorami – podobnymi do tych, którzy w 2017 przejęte konta wykorzystali do publikacji tureckiej propagandy.

Napływ bitcoinów zmalał – Coinbase umieściło już adres docelowy na czarnej liście. Zareagowali szybciej od Twittera…

Aktualizacja 00:15

Twitter W KOŃCU zaczął blokować tweety z feralnym adresem portfela BTC. Lepiej późno niż wcale. Można iść spać.

Aktualizacja 9:40

Twitter potwierdził, że wektorem ataku był dostęp po stronie panelu administracyjnego. Jak to możliwe, że ktoś z zewnątrz mógł dostać się do infrastruktury Twittera i pozostać w niej tak długo? To będzie ciekawe wyjaśnienie – o ile się jakiegokolwiek doczekamy.

Powrót

Komentarze

  • 2020.07.15 23:17 Fff

    no, i Intytucje rządowe w najlepsze używają Twitterow i innych Facebookow do publikowania informacji

    Odpowiedz
  • 2020.07.15 23:46 bad1

    Jest już domena z ostrzeżeniem:
    https://bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh.com

    Odpowiedz
  • 2020.07.16 05:33 Grzegorz

    Ciekawe, dlaczego z konta Trumpa nie wysłano takiego Tweeta. W adresie z artykułu jest m.in. taki Tweet:
    Hearing it was an employee who had permissions to post as anyone, except Trump, who has added security to his account, hence they didn’t get his account.

    Odpowiedz
    • 2020.07.17 12:33 gosc

      Trump udowodnił że ma prawo do wolności pisania nawet nieprawdy.

      Odpowiedz
  • 2020.07.16 05:51 mmm

    Ciekawe jaką są historie gdy mamy listę blaclistowane nawet stare to jak jest z ratowaniem takich pieniędzy ? Albo dobrze namierzanie tych portfeli nawet po mikserach i po monero uzywaniu

    Odpowiedz
    • 2020.07.16 12:01 Wujek Pawel

      Nie ma ratunku dla glupoty i chciwosci.

      Odpowiedz
  • 2020.07.16 08:08 Hacker

    I jak to jest możliwe??? Przecież Barack Obama jest ciągle chroniony przez Secret Service. Może słabe hasło z innego wycieku?

    Odpowiedz
  • 2020.07.16 09:29 mrk

    Nie wiem czy ktoś zauważył, ale kampania jest szersza. Od ok. tygodnia na Youtube są bardzo agresywnie wyświetlane (po kilka razy na filmik) reklamy „BTC/ETH AIRDROP” zachęcające do „otrzymania” 2N kleptowaluty i podpierające się fragmentami wywiadów z różnymi postaciami kleptowalutowego świata. Początkowo myślałem, że po prostu pompują pod pump’n’dump ale jednak kradną wprost.

    Odpowiedz
  • 2020.07.16 10:41 Stenan Chelbak

    Moze w koncu swiat zrozumie, ze do publikowania waznych informacji nie uzywa sie prywatnego gowna, nad ktorym nie ma sie zadnej kontroli?

    Odpowiedz
  • 2020.07.16 11:31 Barney

    Czy to nie dziwne że narzędzia w panelu administratora pozwalają na publikowanie postów w czyimś imieniu?

    Odpowiedz
    • 2020.07.16 19:54 gosc

      Dokladnie. I to powinno byc naglasniane. Zaden admin na zadnej platformie kominikacji nie powinien miec prawa do pisania czy edycji w imieniu kogos innego. Powinien miec jedynie opcje usuwania niezgodnego z regulaminem czy prawem tekstu. Przy swobodnej mozliwosci pisania przez admina moze dojsc do prowokacji czy manipulacji czyims kontem.

      Odpowiedz
    • 2020.07.16 20:05 Observer

      Także nie rozumiem po co taki przypadek użycia. Kasować lub ukrywać to tak, ale po co była możliwość dodawania tweetów?

      Chyba, że gość miał bezpośredni dostęp do bazy i sobie mógł wpisać co chciał.

      Odpowiedz
    • 2020.07.16 20:13 Marcin

      Panel admina najprawdopodobniej pozwalał na zmianę adresu e-mail. Po zmianie napastnicy „odzyskiwali” dostęp do konta. Pozostaje kwestia 2FA. Opcje są dwie – konta nie miały włączonego 2FA, albo z poziomu panelu można wyłączyć również 2FA. Moim zdaniem wygląda to na atak na support odpowiedzialny za odzyskanie dostępu do konta.

      Odpowiedz
      • 2020.07.16 21:09 asdasdas

        Czy zdejmowanie 2FA nie powinno mieć jakiejś ścieżki approvalowej, aby chociaż ktoś takim klepnięciom przyjrzał się jeszcze raz? Wiem, że oni mają tego na tony codziennie, ale wtedy trzeba przejąć więcej kont. Albo chociaż dla poważnych graczy, nie trudno takich filtrować. Chyba, że poszło się bujać jakieś konto super usera twitterowego.

        Odpowiedz
    • 2020.07.18 11:30 saf

      No właśnie. Może napiszecie coś więcej na temat słynnego panelu administratora gdzie są czarne listy, możliwość kasowania trendów i wyszukiwań ? A miało nie być cenzury

      Odpowiedz
      • 2020.07.18 22:18 adamh

        No niestety, te informacje o cenzurowaniu tez ocenzurowali, wiadomo.

        Odpowiedz
    • 2020.07.19 11:19 kez87

      Zważywszy na to,że konto admina być może pozwala też na przejęcie konta to… chyba nie rozumiesz kwestii technicznych :P

      Odpowiedz
  • 2020.07.16 15:21 Karol

    Niestety absurdalne wpisy na profilach polskiej administracji nie są efektem incydentu bezpieczeństwa, a przynajmniej nie po stronie Twittera.

    Odpowiedz
  • 2020.07.16 15:46 asdsad

    Adamie!
    Czy mógłbyś w tytule dać „aktualizacja” jakby jeszcze się coś pojawiło? Ciekawi mnie zakończenie, a boję się, że przegapię jak coś dopiszesz w treści. Z góry dzięki.

    Odpowiedz
  • 2020.07.16 20:08 Observer

    Ten dostęp do panelu administracyjnego to najpewniej posłużył do dodania/modyfikacji metody resetowania hasła.

    Odpowiedz
  • 2020.07.16 23:09 m

    Fajne, fajne. Follow the money.

    Odpowiedz
  • 2020.07.18 00:12 gosc

    Twitter „bada” czy nie wyciekly rowniez korespondencje z kont. Jest pewne, ze ci co przejeli konta i dodawali wpisy mieli rowniez mozliwosc podgladniecia prywatnej korespondencji na kontach i dziwne byloby gdyby z tego nie skorzystali. Natura ludzka – ciekawosc. Pytanie czy wykorzystaja taka korespondencje w przyszlosci a moze ona byc wiecej warta niz te bitcoiny. Takiego np. kandydata na prezydenta Joe Bidena czy Elona Muska

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Poważny atak na Twittera – przejęte konta Apple, Ubera, Muska, Gatesa i wiele innych

Komentarze