Kilka godzin temu włamywacze działający pod szyldem Syrian Electronic Army po raz kolejny pokazali, że jak ktoś chce się gdzieś włamać, to się włamie. Kontroli nad kontem Twittera Obamy nie uzyskali, ale jego linki i tak podmienili.
Syrian Electronic Army zasłynęła w ostatnich miesiącach bardzo spektakularnymi, choć niezbyt skomplikowanymi atakami. Dzięki zastosowaniu inżynierii społecznej, połączonej ze złośliwym oprogramowaniem, włamywacze przejmowali już kontrolę nad kontami w mediach społecznościowych takich gigantów jak chociażby agencja Associated Press (powodując chwilowe załamanie na giełdzie papierów wartościowych) czy też BBC, CBS, Fifa, Guardian, E!News oraz The Onion. Tym razem włamywaczom udało się zmodyfikować linki, publikowane na koncie Twittera @BarackObama, śledzonym przez 39 milionów osób (i botów). Jak tego dokonali?
Najwyraźniej nie mogąc zdobyć kontroli nad całym kontem, włamywacze z SEA szukali jakiegokolwiek sposobu, by obejść zabezpieczenia. Udało się im się zlokalizować słaby punkt w procesie obsługi medialnej prezydenta USA. Okazała się nim osoba, której konto [email protected], obsługiwane przez Gmaila, było skojarzone ze skracaczem linków, wykorzystywanym w publikacjach na Twitterze.
Przy użyciu tego konta włamywacze albo znaleźli, albo zresetowali hasło dostępu do panelu zarządzania skracaczem linków i zmodyfikowali linki w najnowszym wpisie na koncie Obamy. Nowe linki kierowały do filmu wideo, opisującego aktualną sytuację Syrii. Włamywacze opublikowali również zrzut ekranu, pokazujący zaległości płatnicze administracji Obamy, sugerując, że zbyt dużo wydaje na wojnę w Syrii, by płacić bieżące rachunki.
W ramach tego ataku włamywaczom udało się także uzyskać dostęp do panelu zarządzania zbiórką funduszy w trakcie kampanii prezydenckiej oraz przekierować stronę donate.barackobama.com na zarządzany przez SEA adres sea.sy. Osoby odpowiedzialne za bezpieczeństwo kont pocztowych organizacji odpowiedzialnej za kampanię Obamy poszły już po rozum do głowy i zarządziły zmianę wszystkich haseł oraz obowiązkowe korzystanie z dwuskładnikowego uwierzytelnienia Google. Lepiej późno niż wcale…