Poważny atak na Twittera – przejęte konta Apple, Ubera, Muska, Gatesa i wiele innych

dodał 15 lipca 2020 o 23:08 w kategorii Włamania, Wpadki  z tagami:
Poważny atak na Twittera – przejęte konta Apple, Ubera, Muska, Gatesa i wiele innych

Co można zrobić, jeśli ma się kontrolę nad dowolnym wybranym kontem Twittera? Można ogłosić koniec świata, można powiadomić firmę i zgarnąć bug bounty, ale można też je sobie wypłacić, kradnąc cudze krytpowaluty. Ktoś wybrał to ostatnie.

Przez Twittera przewija się właśnie niespotykana fala wpisów z kont obserwowanych przez miliony osób – każdy z wpisów obiecuje oddać 2N kryptowaluty, jeśli przelejecie N kryptowaluty na wskazany adres. To znany schemat oszustwa – lecz po raz pierwszy przestępcy używają prawdziwych kont o takich zasięgach. Kto został zhakowany? A kto nie został…

Krótka lista ofiar

Oszustwo pojawiło się na koncie Elona Muska (w końcu na prawdziwym)

Billa Gatesa

Ubera

Apple’a

Bitcoina

Co tam się stało?

To bardzo ciekawy atak, bo obstawiamy, że wiele z ww. kont miało włączone dwuskładnikowe uwierzytelnienie. Albo atakujący dostali się do infrastruktury Twittera, albo znaleźli ciekawy błąd, umożliwiający publikowanie z cudzych kont. Czekamy na wyjaśnienia Twittera – to będzie interesująca lektura.

Aktualizacja 23:20

Kolejne konta przybywają – Kanye West, Mike Bloomberg, Jeff Bezos, Warren Buffet, Joe Biden. Pod tym linkiem możecie obserwować sytuację na żywo. W portfelu złodziei już ok. 11 BTC.

Jedna z teorii mówi – podobnie jak nasze podejrzenia – że to przejęte konto pracownika Twittera (dostęp do narzędzi administracyjnych):

https://twitter.com/UnderTheBreach/status/1283503488539000840

Tu prawdopodobnie lista domen powiązanych z tym oszustwem.

Aktualizacja 23:35

To naprawdę poważny problem Twittera. Konto Muska publikuje już trzeci wpis o tej samej treści. Ktoś jeden usuwa, pojawia się drugi. Nikt tego nie kontroluje, wygląda jakby ktoś odciął administratorów Twittera od konsoli. Do listy dołącza też Barack Obama. Lista ofiar to de facto lista sław Twittera – nie wystarcza już niebieski znaczek, trzeba być naprawdę popularnym!

Aktualizacja 23:45

Wygląda na to, że przejęte konta mają zmieniony adres e-mail – na to wskazują informacje z procesu resetu hasła. Wygląda też, że proces resetu hasła dla przejętych kont został właśnie zmieniony.

Aktualizacja 23:50

Warto zauważyć, że gdy ktoś przejął w 2013 konto Twittera agencji Associated Press, to publikując newsa o rzekomym zamachu na Obamę, załamał na chwilę amerykańską giełdę. Widać, że tym razem mamy do czynienia z amatorami – podobnymi do tych, którzy w 2017 przejęte konta wykorzystali do publikacji tureckiej propagandy.

Napływ bitcoinów zmalał – Coinbase umieściło już adres docelowy na czarnej liście. Zareagowali szybciej od Twittera…

Aktualizacja 00:15

Twitter W KOŃCU zaczął blokować tweety z feralnym adresem portfela BTC. Lepiej późno niż wcale. Można iść spać.

Aktualizacja 9:40

Twitter potwierdził, że wektorem ataku był dostęp po stronie panelu administracyjnego. Jak to możliwe, że ktoś z zewnątrz mógł dostać się do infrastruktury Twittera i pozostać w niej tak długo? To będzie ciekawe wyjaśnienie – o ile się jakiegokolwiek doczekamy.