Nove podrobnosti Twitter hacka

Mineva nekaj dni od odmevnega vdora v najvidnejše račune na Twitterju in tako podjetje kot mnogi preiskovalci ter vpleteni so postregli z nekaj več detajli. Zaenkrat še vedno kaže, da je šlo za kripto-potegavščino, saj ni videti, da bi jo zlikovci podurhali z zasebnimi sporočili Obame, Muska in drugih pomembnih oseb; toda na končne sklepe bo potrebno še čakati.

V noči s srede na četrtek po našem času se je Twitterju pripetil bržkone največji vdor v zgodovini socialnih omrežij. Mnogi računi vidnih svetovnih političnih, gospodarskih in medijskih osebnosti, kot so Barack Obama, Elon Musk, Bill Gates in Jeff Bezos, so začeli bljuvati prevarantske objave, ki so imele namen od lahkovernežev izvabiti kriptokovance. Na koncu so nepridipravi dejansko pobasali za prek sto tisoč dolarjev plena, pri Twitterju pa so po dveh urah mahinacije le zaustavili - tudi s pomočjo prijemov, ki jih vidimo jako redko, kot je vsesplošno blokiranje preverjenih (verified) uporabniških računov. Ker je platforma za čivkanje danes že eden od osrednjih medijev za družbeno-politične objave in razprave na Zahodu - sploh v luči Trumpovega rafalnega tvitanja - ima seveda lahko tovrstno lažno objavljanje zelo stvarne negativne posledice. Opomniti je treba, da sta se firmi v preteklosti že zgodili dve aferici v tej smeri. Leta 2011 je bil shekan račun NBCNews, ki je objavil, da je prišlo do novega napada s potniškimi letali na Manhattnu, kar je sprožilo splošno paniko. Dve leti zatem so malopridneži vdrli še v račun hiše The Associated Press in objavili, da je bil v bombnem napadu na Belo hišo poškodovan Barack Obama, kar je za nekaj ur s tečajev vrglo newyorško borzo. Zadnji incident je zato že začel preiskovati FBI (omejen dostop), pa tudi nekatere druge ustanove, kot je newyorško državno tožilstvo.

Če so bili za prejšnje vdore prvinsko krivi zunanji dejavniki, pa je šlo tokrat za fiasko v samem Twitterju, saj so se napadalci polastili administrativnih orodij za upravljanje z uporabniškimi računi. Začnimo z uradnimi pojasnili podjetja. Napadenih je bilo 130 računov, od katerih so jih pridaniči uspeli 45 tudi zlorabiti za objavljanje, in sicer tako, da so najprej spremenili gesla za dostop ter nato vstopili v račune. Firma je še objavila, da so pri osmih računih falotje pretočili tudi vso vsebino zasebnih sporočil, kar lahko uporabniki storimo skozi orodje Your Twitter Data. Vendar pa hkrati poudarjajo, da naj prav noben od teh računov ne bi bil preverjen, oziroma pomemben. Seveda pa to še ne pove vsega o špeganju v zasebna sporočila, saj jih je moč skozi uporabniški vmesnik tudi pregledovati in na primer pofotkati. Zanimiva podrobnost s tem v zvezi: zasebna sporočila ostanejo v našem arhivu za dolpoteg prisotna, vse dokler jih ne izbrišeta oba vpletena akterja. V Twitterju pravijo, da ostalim uporabnikom v splošnem ni potrebno skrbeti, da bi bili ogroženi tudi drugi računi izven omenjenih, ker je šlo za zelo usmerjene napade. Uradna inačica je še vedno ta, da so kriminalci s kombinacijo socialnega inženiringa in hekerskih metod od zaposlenih v podjetju pridobili dostop do ključnih orodij za nadzor uporabniških računov. Toda hkrati pristojni še vedno niso izrecno zanikali vehementnih navedb Vicovega oddelka Motherboard, da naj bi cefizlji kratkomalo kupili enega od sodelavcev podjetja.

Precej več zanimivih podrobnosti je na voljo, če prečešemo splet. Varnostni analitik Brian Krebs je napadalce povezal s kliko notoričnih "SIM swapperjev", skupino hekerjev, ki skušajo pridobiti nadzor nad uporabniškimi računih na socialnih omrežjih. V tej grupi so še posebej čislani računi s kratkimi označbami (na Twitterju na primer @y ali @6), saj ti običajno označujejo uporabnike, ki so se omrežjem priključili med prvimi. Se pravi, kot bi nekdo na Slo-Techu skušal suniti račune s po eno ID števko. V resnici je bila med napadenimi kopica takšnih profilov, na primer @6, na katerem je pred svojo smrtjo leta 2018 objavljal razvpiti heker Adrian Lamo, ki je ameriškim oblastem izdal žvižgačico Chelseo Manning. Po njegovi smrti s profilom upravlja njegov prijatelj z vzdevkom Lucky225, ki je popisal podrobnosti vdora. Te potrjujejo doslej zaznani mehanizem napada z menjavo gesel in vezanih elektronskih naslovov skozi Twitterjeva administrativna orodja. Krebs je osumljence nadalje zožil na skupino ChucklingSquad, ki je lani z napadom SIM swap že prevzela račun Twitterjevega šefa Jacka Dorseyja.

Toda še veliko širokopoteznejša razlaga je uspela The New York Timesu, ki se je dejansko dokopal do nekaterih ljudi blizu samega napada. Tako so govorili s štirimi vpletenimi trgovci z ukradenimi računi, ki so se očitno želeli z zgodnjim pričanjem zavarovati pred neizbežno zvezno preiskavo. Ti pravijo, da se je napad začel pri za zdaj še vedno skrivnostnem hekerju z vzdevkom Kirk, ki je v sredo na Discordu trgovce kontaktiral s trditvijo, da ima dostop do Twitterjevih administrativnih orodij in da potrebuje njihovo pomoč pri distribuciji ukradenih računov. Četverica mu je nato pomagala razdeliti kupček do takrat pokradenih profilov, toda kripto-prevaro, ki je sledila nekaj ur pozneje, naj bi Kirk izvedel bodisi sam bodisi s še neznanimi drugimi pajdaši. Tudi člani ChucklingSquada naj bi bili tako zgolj manjši del strank, ki je pohopsala nekaj računov, ni pa bila del kripto-sleparije. Skrivnostnež je takrat trdil, da je uslužbenec Twitterja, česar pa mu drugi hekerji niso verjeli, ker da "ni izkazal niti trohice lojalnosti podjetju". Iskanje glavnega negativca se tako nadaljuje.