עברו יותר מ-48 שעות מאז שהוקפץ טוויטר בפריצה הגדולה ביותר בהיסטוריה בת 14 השנים של החברה. עם זאת, מעט עדיין ידוע על האופן שבו האקר או קבוצת האקריםהשיג גישהלחשבונותיהם של הנשיא לשעבר ברק אובמה, אילון מאסק וקניה ווסט, בין היתר - כמה מהמשתמשים המאומתים הגדולים ביותר של הפלטפורמה - כדי לצייץ תרמית ביטקוין.

אבל, למשתמש אחד בטוויטר המעורב בקהילת infosec יש מושג טוב מאוד לגבי האופן שבו לפחות חלק גדול אחד מהפריצה ירד. אז בואו נפרק את זה.

ייתכן שהציוץ נמחק

Lucky225, האקר שנפטר, והקשר של צ'לסי מאנינג

חוקר אבטחה העונה לשם המשתמש בטוויטרמזל225כתב מעניין מאודפוסט בינוניביום חמישי מפרט את החוויה הייחודית שלו עם פריצת הטוויטר הגדולה.

כששמע על המתקפה ביום רביעי, Lucky225 בדק מיד את הסטטוס של אחד החשבונות שהוא מנהל שיש לו ידית טוויטר נדירה,@6. ידיות אלה נקראות לעתים קרובות "שם משתמש OG" בשל העובדה שהן כה קצרות או גנריות שהן היו חייבות להיות רשומות במהלך הימים הראשונים של הפלטפורמה.

Lucky225 מנהל את חשבון הטוויטר @6 שהיה שייך פעם לאדריאן לאמו, שנפטר ב-2018.

אם שמו של לאמו נשמע לכם מוכר, זה בגלל שכמעט בוודאות שמעתם עליו בעבר. לאמו היה שם גדול בחוגי האקרים בתחילת שנות ה-2000. אבל, בשנת 2010, לאמו פרסם חדשות: הוא עדכן את הרשויות בארה"ב על תפקידה של צ'לסי מאנינג לספק לוויקיליקס מידע מסווג שדלף. זה הביא למעצרו של מאנינג.

לאחר שבדק את זה, Lucky225 גילה שהוא אכן הוצא מחשבון הטוויטר @6, שמשפחתו של לאמו העניקה לו אישור לנהל.

מסתבר שכמה שעות לפני שחשבונות טוויטר מאומתים השייכים למייסד מיקרוסופט ביל גייטס ומייסד אמזון ג'ף בזוס התחילו לצייץ על אותה תרמית ביטקוין, Lucky225 קיבל אימייל. המייל לא היה מטוויטר; זה היה מ-Google Voice, שהודיע ​​לו שנשלחה הודעת טקסט בנוגע לאיפוס סיסמה לחשבון @6 של Lamo. Lucky225 לא ביקש את האיפוס הזה.

ייתכן שהציוץ נמחק

מה טוויטר מספרת לנו עכשיו

בזמן שהפריצה התרחשה ביום רביעי, שותפו בפלטפורמה צילומי מסך של מה שלכאורה תיאר את פאנל הניהול הפנימי של טוויטר, מעין "כלי מאסטר" שהחברה משתמשת בו כדי לנטר ולנהל חשבונות משתמשים. עדיין לא אושר אם אלו אכן היו כיסויי מסך אותנטיים של הקצה האחורי של הפלטפורמה.

עם זאת, האמונה היא שעם כל כך הרבה חשבונות של משתמשים גדולים שניגשים אליו בבת אחת, ההאקרים לא השתמשו כמעט בוודאות בשיטות הרגילות של מיקוד לכל משתמש באמצעות אימייל דיוג או שיטות אחרות של הנדסה חברתית קלאסית. עדיין לא ידוע אם להאקרים היה איש קשר בתוך החברה או שעובד עם גישת אדמין הונדס חברתית בעצמו.

הנה מה שאנחנו כן יודעים: על מנת לעצור את המתקפה והמטח של ציוצים של הונאה בביטקוין המגיעים מחשבונות של משתמשים מאומתים, החברה סגרה את כל החשבונות המאומתים לתקופה קצרה. (אפילו חשבונות שניסו לשנות את הסיסמה שלהםבְּמַהֲלָךההתקפה ננעלה בחוץ, עם רביםעדיין יש בעיותלחזור לאינטרנט.)

ייתכן שהציוץ נמחק

מאז טוויטרמְאוּשָׁרכי כ-130 משתמשים מאומתים הושפעו מהתקיפה. החברה גם אומרת כעת שהיא לא מאמינה שמשתמשים צריכים לשנות את סיסמת החשבון שלהם מכיוון שלהאקרים לא הייתה גישה לאישורי החשבון. עם זאת, החקירה עדיין נמשכת. וטוויטר עדיין לא אומר הרבה יותר מזה.

כיצד ההאקרים ניגשו לחשבונות המאומתים הללו

דו"ח חדש שפורסם ביום שישי בערב מה-ניו יורק טיימסנותן לנו קצת יותר פירוט כיצד ניתן היה לפגוע בפאנל הניהול.

לפי הדיווח, האקר בשם "Kirk" בשירות ההודעות Discord ניגש לכלי הקצה האחורי "כשמצא דרך לערוץ ההודעות הפנימי Slack של טוויטר" ומצא את האישורים שפורסמו שם. קירק גם גילה גישה לשרתים של החברה בלוח Slack.

אבל הניסיון של Lucky225 עם איפוס הסיסמה של Google Voice עשוי להחזיק את המפתח לגבי מה בדיוק עשו ההאקרים כשהיו בפאנל הניהול של טוויטר. העובדה שהתוקפים היו צריכים לאפס את הסיסמה עבור @6 לפני שהם משתלטים עליה היא עדות די משכנעת לכך שלא ניתן לבצע ציוצים ושינויי סיסמה מפאנל הניהול.

אז מה אפשרי באמצעות כלי הקצה האחורי הזה? לפי Lucky225, ישנם שני דברים שלדעתו יכולים להיעשות על ידי בעלי גישת אדמין של טוויטר: שינוי כתובת האימייל המחוברת לחשבון וביטול אימות דו-שלבי.

ההאקרים הצליחו להשתלט על חשבון @6 באמצעות איפוס סיסמה בדוא"ל מבלי לדרוש את שכבת האבטחה הנוספת שמסופקת על ידי קוד 2FA שנשלח בדרך כלל לטלפון של המשתמש.

טוויטר אישר למעשה את החשדות של Lucky225 מאוחר יותר. לאחר שהחזיר לעצמו את השליטה בחשבון @6, החברה שלחה לו אימייל לפיו 2FA כובה עבור החשבון שלו. הוא גם קיבל בקשה לשנות את הסיסמה שלו.

ואז ישנו גם העניין המוזר של הודעת ה-SMS שנשלחה למספר Google Voice שלו בנוגע לאיפוס הסיסמה ביום הפריצה. כפי שמציין Lucky225 בפוסט שלו: האם ההאקרים לא הבינו שכיבוי 2FA לא הסירה לחלוטין את רשומת הטלפון בקובץ? או שזה משהו שפשוט לא ניתן לשנות מפאנל הניהול? הכל לא ברור.

למה @6?

הדבר האחרון שאני יכול לענות לך ישירות עכשיו הוא כנראה השאלהמַדוּעַ... למה ההאקרים הלכו אחרי חשבון הטוויטר הישן של ההאקר שנפטר אדריאן לאמו?

זה די פשוט באמת. כפי שציינתי קודם, @6 הוא חשבון OG.

ייתכן שהציוץ נמחק

במעגלים מקוונים מסוימים, שמות משתמש קצרים במדיה חברתית הם מצרך חם. לעתים קרובות רשום כאשר פלטפורמת מדיה חברתית רק מושקת, חלק רואים את הידיות הללו כסמל סטטוס. בדומה להשערות של שמות דומיין, חשבונות OG או "גנגסטר מקוריים" אלה יכולים להימכר באלפי דולרים בפורומים מקוונים ובשווקי אפטר.

בדיוק כמו בכל כלכלה מקוונת אחרת, רכישת ידית מדיה חברתית עלולה לקלוע לך בשם גדול וקצר, או שהיא עלולה להשאיר אותך ללא מזומנים כי נפלת על הונאה. לדוגמה, הפורום OGusers הוא מקום ידוע לשמצה עבור מוכרים המעוניינים למשכן חשבונות OG שהשיגו באמצעים לא לגיטימיים.

למעשה, האמור לעילדיווח טיימסחשף את המידע על האופן שבו קירק ניגש לכאורה לפאנל הניהול לאחר שדיבר עם מספר האקרים שעזרו לקירק למכור ידיות נדירות מוקדם יותר באותו היום ב-OGusers.

באתר שלוקרבס על אבטחה, כתב אבטחת הסייבר הוותיק בריאן קרבס מציין כיצד משתמש טוויטר שהושעה כעת שעובר על הידית @shinji צייץ על הבעלות על חשבון @6 בזמן שהפריצה התרחשה ביום רביעי.

ניתן לראות צילום מסך בהציוץ למעלה.

הניו יורק טיימסהדיווח גם מאשר את החקירה של בריאן קרבס לגבי מי שהשיג שליטה על ידית הטוויטר @6. עם זאת, הפִּיגילה שהאדם הזה, שסיפק את שמו המלא - ג'וזף אוקונור - רק רכש את החשבון ב-OGusers מוקדם יותר באותו יום תחת שם המשתמש שלו PlugWalkJoe. אוקונור אינו האדם שאחראי לפריצה לחשבון וגם לא פאנל הניהול של טוויטר.

אוקונור גם התפאר בעבר בבעלות על חשבונות OG כמו @dead ו-@j0e. בנוסף ל-@shinji, משתמשי טוויטר אחרים גם פרסמו צילומי מסך, לכאורה מפאנל הניהול של טוויטר, המציגים גישה עורפית לנקודות אחיזה נדירות כמו שם המשתמש בטוויטר @b.

אז מי עמד מאחורי המתקפה?

בהתבסס על הניסיון שלו, Lucky225 מאמין שיותר מהאקר אחד היה מעורב בהפרת טוויטר. שם המשתמש @6 נגנב הרבה לפני שהונאת הביטקוין החלה להופיע בציר הזמן של חשבונות מאומתים. יתר על כן, חשבון @6 מעולם לא שלח ציוץ על הונאת הביטקוין מלכתחילה.

אפילו עם הדיווח האחרון ב-פִּי,לא ברור אם רק קירק היה מעורב בפריצת פאנל הניהול של טוויטר. אחרי הכל, קירק יכול להיות גם יותר מאדם אחד. עם זאת, אנו יודעים מהפִּישהיו מעורבים גורמים רבים במכירת השמות שנגנבו על ידי קירק.

נכון לעכשיו, מי בדיוק עומד מאחורי המתקפה בטוויטר זה הכל רק ספקולציות. המכירות של ידיות אלה למספר גורמים בהחלט יבלום את המים.קרבס, בדיווח שלו מאתמול, אמר שסימנים מצביעים על כך שאוקונור היה לכאורה מעורב בתקיפה איכשהו. אולי זה עדיין יכול להתברר כנכון. אבל הפִּינראה שהחקירה האחרונה מפריכה זאת.

אנחנו פשוט עדיין לא יודעים מי עמד מאחורי הפריצה ולא ברור אם גם טוויטר כן.