Hlavní navigace

Obelstění zaměstnanci, úplatek, nebo selhání? Co zatím víme o hacku Twitteru

 Autor: Twitter
Ani dva týdny po velkém hacku Twitteru není úplně jasno, jak přesně k němu došlo. A jak se před podobnými problémy mohou chránit uživatelé?
David Slížek 31. 7. 2020
Doba čtení: 5 minut

Sdílet

Jak útočníci mohli ovládnout desítky twitterových účtů známých osobností a jejich jménem zveřejnit tweety s podvodnou nabídkou „rychlého zbohatnutí“? Od bezprecedentního hacku Twitteru uplynuly dva týdny a odpověď na tuto otázku zatím není (aspoň veřejně) přesně jasná.

Něco málo prozradil Twitter na svém blogu, několik souvislostí vypátrali novináři a zajímavé souvislosti zveřejnil bezpečnostní expert Brian Krebs. Co tedy zatím víme?

Twitter velmi záhy po útoku přiznal, že útočníci získali přístup k interním nástrojům Twitteru, které slouží týmům pro zákaznickou podporu. S pomocí těchto nástrojů napadli 130 účtů a na 45 z nich zveřejnil falešné výzvy k zaslání bitcoinů s tím, že uživatelé dostanou zpět dvojnásobek zaslané částky. U 36 účtů se dostali do schránky s přímými zprávami (DM) a ze 7 účtů stáhli pomocí nástroje Your Twitter data kompletní údaje s tweety, médii, seznamem followerů či záznamy o aktivitě účtu.


Phishing po telefonu

Klíčová otázka zní, jak se útočníci do interních systémů dostali. V nejnovějším blogovém textu Twitter píše, že šlo o pečlivě naplánované sociální inženýrství, které zneužilo slabiny malého počtu zaměstnanců Twitteru. Útočníci provedli tzv. spear phishing, tedy phishingový útok připravený na míru na konkrétního člověka. Podle Twitteru k něm došlo po telefonu – to znamená, že útočníci nejspíš údaje získali falešnými telefonáty nebo SMS, ve kterých se vydávali za někoho jiného.

Ne všichni zaměstnanci, na které prvotní phishing mířil, měli přístup do nástroje pro správu twitterových účtů, píše dále Twitter. V první fázi útočníci získali přístupové údaje „jen“ pro vstup do interní sítě Twitteru, kde podle firmy „získali informace o interních procesech“. Ty pak využili k dalšímu phishingu, zaměřeného na další zaměstnance, kteří měli k nástrojům pro správu účtů přístup.

To poměrně odpovídá tvrzením hackerů, která ve svém článku zveřejnil deník New York Times. Pokud se dá jejich tvrzení věřit, je tu ale jeden detail, který nevrhá příliš dobré světlo na bezpečnostní opatření Twitteru. Jeden z útočníků totiž v článku tvrdí, že hlavní strůjce útoku získal přístupové údaje do nástroje pro správu účtů v jednom z kanálů na Slacku Twitteru. Pokud je to pravda, jde o neuvěřitelné bezpečnostní selhání Twitteru a jeho zaměstnanců. Je to jako by přístupové údaje do citlivého interního systému visely připíchnuté někde na nástěnce.

Co tvrdí hackeři

Tolik oficiální informace, které zveřejnil sám Twitter. Pozoruhodná jsou ale také zjištění bezpečnostního experta Briana Krebse, který zatím na svém blogu k hacku publikoval dva články. V prvním, zveřejněném jen den po hacku, identifikoval jednoho z mladíků, kteří jsou do celé akce zapletení. Jde o člověka z tzv. OG komunity – tedy skupiny lidí, kteří se zabývají krádežemi účtů s krátkými jmény (například @6, @joe a podobně). Jde jednak o prestiž, protože tyto účty většinou vznikly krátce po startu sociálních sítí, a také o peníze, protože přístup k takovým účtům se dá prodat za tisíce dolarů.

Dotyčný mladík, vystupující mimo jiné pod přezdívkou PlugWalkJoe, je podle Krebse navíc známou osobou v kruzích hackerů používajících tzv. SIM swapping. Zjednodušeně jde o metodu, která útočníkům umožňuje obejít ochranu účtů prostřednictvím zaslání ověřovacího kódu v SMS. Získají údaje o své oběti a pak se za ni vydávají u mobilního operátora (nebo uplatí jeho zaměstnance) a požadují výměnu SIM karty nebo převedení služeb na jinou SIM. Pokud se jim to povede, přijde pak potvrzovací kód na jejich telefon. Touto metodou se například útočníkům podařilo v loňském roce na čas ovládnout účet šéfa Twitteru Jacka Dorseyho.

New York Times poté ve svém pozoruhodném článku, založeném na rozhovorech s několika útočníky, popsal jejich verzi příběhu. Podle zjištění deníku za útokem stála skupinka mužů ve věku kolem dvaceti let. Podle oslovených hackerů vše vedl muž s přezdívkou Kirk a další členové skupiny „jen“ zprostředkovávali prodej ukradených účtů. Samotného Kirka se deníku rozmluvit nepodařilo.

Dojem, který se o sobě útočníci snažili při rozhovorech s redaktory New York Times vytvořit, Krebs ve svém druhém textu částečně nabourává. Podle něj nejde o neviňátka, ale o známé hackery. Jeden z nich už dříve na specializovaných fórech tvrdil, že je v kontaktu se zaměstnanci Twitteru, kteří mohou za peníze leccos zařídit – například odblokování zablokovaného účtu.

To by mohlo nahrávat další teorii, kterou krátce po hacku publikoval server Motherboard. Podle jeho zdrojů z hackerské komunity jeden ze zaměstnanců Twitteru s útočníky přímo spolupracoval – podle jednoho z hackerů byl podplacený. Tato verze se ale zatím oficiálně nepotvrdila.

Uvidíme, co dalšího se o hacku Twitteru ještě dozvíme. Ke cti sociální sítě je zatím možné přiznat, že se o případu snaží komunikovat a pravidelně zveřejňuje nové informace.

Jak se před podobnými problémy můžete chránit vy jakožto uživatel Twitteru nebo jiné sociální sítě? 

Na tuto otázku Lupě odpověděl bezpečnostní expert Michal Špaček:

„To je jednoduché – unikátní hesla, 2FA nejlépe pomocí klíče do USB – to všechno je klasika, kterou byste měli mít. Ale nic z toho vám v podobných případech nepomůže. Útočníci totiž neměli v hledáčku uživatele, nehackli Billa nebo Jeffa, ale hackli Twitter jakožto službu.“

CIF20

„Asi naprostá většina webových aplikací, které nějak pracují s uživateli, má podobné interní nástroje jako Twitter. A taky uživatelskou podporu, která s těmi nástroji pracuje a která pomocí nich požadavky typu ‚zapomněl jsem heslo a nemám přístup ke starému e-mailu‘ řeší poměrně často. Když podporu někdo podmázne, mnoho řešení není. Firma může první úrovni podpory zrušit možnost měnit e-mailové adresy svým VIP uživatelům, resetovat hesla zavoláním nebo posláním srdceryvného e-mailu, může zakázat stažení archívu soukromých zpráv 48 hodin po změně e-mailu nebo něco podobného, ale všechno je to nějaký kompromis. Audit logy, ve kterých najdete, kdo tu změnu provedl, by ale měly být samozřejmostí.“

„Podmáznutím se ale chlubí možní útočníci jen v jednom z rozhovorů, ve druhém se mluví o jakémsi Kirkovi, který našel přístupové údaje k interním službám v twitterovském Slacku. Zatím není jasné, jak se Kirk do Slacku dostal, mohlo to být klidně i tím podplacením zmíněným výše, ale pojďme se soustředit na ty přístupové údaje v něm. Pro poslání jednorázových přihlašovacích údajů je Slack (nebo e-mail apod.) s přimhouřením obou očí asi celkem v pohodě. Pro sdílení dlouhodobých loginů je lepší nějaký ‚business‘ správce hesel, který umí sdílení přece jen trochu bezpečnějším způsobem. Zaměstnanci, kteří by podlehli phishingu (tedy všichni zaměstnanci), by taky měli mít vynucenou 2FA pomocí USB klíčů nejen do interních nástrojů a služeb, ale třeba i k tomu Slacku. To se všechno ale strašně jednoduše říká, co?“