Твиттер. Крупнейшая атака

В ночь на 16 июля произошла одна из самых глобальных атак на Twitter.

В ночь на 16 июля произошла одна из самых глобальных атак на Twitter. В аккаунтах многих известных личностей появились странные сообщения с предложением подзаработать. Среди "жертв" оказались создатель Microsoft Билл Гейтс, глава Amazon Джефф Безос, музыкант Канье Уэст, бывший глава США Барак Обама, основатель Tesla Илон Маск и многие другие. Также под раздачу попали и корпоративные аккаунты Apple, Uber, Coinbase, Binance, Ripple и другие.
Глава Twitter обратился к пользователям социально сети с фразой:

В этой статье посмотрим, последовательность развития событий. Затронем тему, почему при столь масштабной атаке был использован именно такой неудачный способ монетизации. Разберемся, кто взял на себя ответственность за эту атаку и каким способом был взломан Twitter.

Как заработать $120 тысяч и не цента больше?

На многих страничках появились сообщения, где известные личности предлагали удвоить сумму пользователь в BTC. Так по легенде, каждый отправитель получил бы двойную транзакцию, акция действовала только 30 минут. Во всех постах был использован один и тот же кошелек BTC.
На скриншоте видно, как от имени Joe Biden и Barack Obama было опубликовано "щедрое" предложение. Посты сразу разлетелись по социальной сети.
Несмотря на то, что многие пользователи восприняли это как шутки, некоторые переводили свои средства с интереса.
На кошелек упало около 12 BTC или около $110 тысяч. Но деньги на счет могли скидывать и сами хакеры, для создания фейкового оборота.

Для корпоративных аккаунтов была использована немного другая схема монетизации. От имени многих крипто-бирж опубликовали твиты (сообщения) о сотрудничестве с новым партнером и разместили ссылку на фейковый сайт.
Сейчас на сайте уже ничего нет, но старый добрый web.archive сохранил сообщение на сайт с предложением "выгодных" условий. Все примитивно просто, краткий текст, аналогичный BTC-адресс с QR-кодом и все. Тот же розыгрыш только в другой обертке.

Хронология взлома

Действия происходили в ночь с 15 на 16 июля. Публикация первых твитов, начало атаки. 00:00, 16 июл. 2020.
Спустя час после взлома Twitter ограничил отправку новых твитов для всех верифицированных аккаунтах. 1:18, 16 июл. 2020.
Также было ограничена возможность изменять пароли. 1:18, 16 июл. 2020.
Большинству верифицированных аккаунтов вернули возможность публиковать твиты. 3:31, 16 июл. 2020.
Опубликовано сообщение от создателя Twitter о начале расследования внутри компании. 4:18, 16 июл. 2020.
Появилось два твита (1, 2) от поддержки Twitter о первых результатах расследования. Стало известно что использовалась целенаправленная атака на сотрудника посредством социальной инженерии. 5:38, 16 июл. 2020.
Примерно в то же время было опубликовано сообщение обьяснение блокировки большинства верифицированных пользователей, а также ограничения некоторых функций. 5:38, 16 июл. 2020.
Пользователи также заметили, что Twitter ограничил публикацию BTC-кошельков.

Как взломали Twitter?

Сейчас, по официальным твитам, внутри компании происходит служебное расследования.

По данным TechCrunch, за взломом стоит хакер, известный как Кирк. Журналисты Motherboard получили скриншоты админки Twitter, через который взломали все аккаунты.
Есть подозрения, что доступ был получен через одного из сотрудников компании. Пока неизвестно, хакеры подкупили сотрудника или взломали с помощью социальной инженерии. Понятное одно — это огромный репутационный удар для Twitter. Акции компании уже упали на 6%.

Интерфейс админки при присмотре аккаунта Binance

Позже появилась информация от поддержки Твиттер по результатам предварительного расследования — компания считает произошедшее «скоординированной атакой» на их сотрудников с помощью метода социальной инженерии.

"Мы обнаружили, как нам кажется, скоординированную атаку с использованием социальной инженерии. Мошенникам удалось успешно связаться с некоторыми нашими сотрудниками, у которых есть доступ к внутренним системам и инструментам".

"Мы знаем, что они использовали доступ, чтобы захватить многие популярные (включая верифицированные) аккаунты и твитить с них. Мы изучаем, какой ещё вредоносной деятельностью они могли заниматься и к какой информации могли получить доступ. Мы расскажем об этом, когда выясним больше".

Некоторые пользователи подняли дискуссию, что белые хакеры все чаще переходят на темную сторону. Это связано с тем, что официальные выплаты от компаний за найденные уязвимости — копейки, по сравнению с тем, что можно получить продав уязвимость или монетизировать полученные данные.
На скриншоте ниже с официальной Bug Bounty программы Twitter видно, что за уязвимость получения доступа в аккаунт предусмотрено вознаграждение $7700. На примере атаки на Twitter хакеры пошли по темной стороне, и используя далеко не самый оптимальный вариант монетизации, смогли получить больше $100 к.

Вознаграждения по Bug Bounty программе Twitter

Что это? Удачная атака или глупая монетизация?

Дело в том, что обсуждение вокруг полученной суммы 12 BTC или $110 тысяч могут быть пустыми. Анализ транзакций заслуживает отдельного поста. Достаточно сложно оценить реальный размер полученных средств от проведенной атаки.
Сейчас совсем непонятно что является проделкой хакеров для создания фейкового объема, а что реальными транзакциями от обманутых пользователей.
Я думаю, что спустя время будет информация по точным цифрам, но даже если сумма вознаграждения составляет $110 тысяч — монетизация этой атаки является достаточно неэффективной.

Для такого рода уязвимости сумма минимальная. Если хакеры хотели показать свою силу, то можно было вполне ограничиться публикацией поста со своими никнейнами или названием группы. Но тут прослеживается финансовая монетизация. Давайте раскинем мозгами и подумаем, что можно было бы получить используя данную уязвимость.

1 мая Илон Маск опубликовал в своем аккаунте Твиттер, что стоимость акций Tesla по его мнению завышена. Акции до конца дня упали почти на 10%.
Теперь давайте представим, что хакеры опубликовали от имени Илона Маска более негативный пост: "В связи Covid-19 увольняет 70% сотрудников и закрывает 50% своих заводов".
Если стоимость акций снизятся на 20%, то продав 10 000 акций (Short-позиция) перед публикацией твита можно было получить $3 ляма долларов.
Это только один из возможных векторов. Учитывая, что публичных личностей было около 50, суммы могли быть намного выше.

Заключение

История этого взлома вовсе не закончена. Глава Твиттера пообещал поделиться результатами внутреннего расследования. Но это очень хороший звоночек для массового юзера, что социальные сети являются небезопасным местом. И помимо проведения какой-то банальной атаки с целью получения прибыли, хакеры теоретически могли прочитать/отправить личные сообщения в аккаунтах Twitter. Пока детальной информации нет, но потенциальный ущерб мог бы быть значительно больше.

Пользователи социальных сетей подняли тему, что некоторые сотрудники Твиттера, при желании, могли бы подорвать репутацию многих крупных компаний. Варианты эксплуатации полученного доступа могли нанести более серьезный ущерб. В любом случае это событие всколыхнет сознание пользователей социальных сетей, которые привыкли следовать постам своих "кумиров". Ведь сейчас пост в социальной сети, вполне может вызвать политический конфликт, обвал стоимости акции или другое серьезное действие.