Компания Twitter отчиталась о предварительных итогах расследования массированного взлома, случившегося в ночь на 16 июля. В корпорации полагают, что злоумышленники применили к нескольким сотрудникам Twitter методы социальной инженерии, то есть намеренно манипулировали ими для выполнения определенных действий и разглашения конфиденциальной информации.
"Злоумышленники успешно манипулировали небольшим количеством сотрудников и использовали их учетные данные для доступа к внутренним системам Twitter, в том числе через нашу двухфакторную защиту", - говорится на сайте соцсети. Хакеры получили контроль над инструментами, доступными только внутренней службе поддержки, и атаковали 130 учетных записей.
Мошенники смогли войти в 45 аккаунтов, запустив сброс пароля, и отправить через них сообщения. Также в Twitter считают, что они пытались продать некоторые имена пользователей. По меньшей мере в восьми случаях хакеры воспользовались специальным инструментом Your Twitter Data, и получили все данные об истории и действиях этих аккаунтов. Уточняется, что эти учетные записи не были верифицированными.
В компании считают, что "подавляющему большинству" пользователей не стоит беспокоиться о том, что злоумышленники получили доступ к их личным данным. Что касается 130 аккаунтов, которые непосредственно подверглись атаке, то хакеры могли просматривать персональную информацию, включая адреса электронной почты и номера телефонов. В тех случаях, когда преступники получили полный контроль над учетными записями, они могли просматривать дополнительные сведения, говорится в сообщении Twitter.
Соцсеть намерена восстановить доступ ко всем аккаунтам, которые могут быть до сих пор заблокированы в рамках разбирательства, внедрить дополнительную защиту своих систем во избежание подобных атак и обучить сотрудников мерам защиты от тактики социальной инженерии.
"Мы четко осознаем свою ответственность перед людьми, которые пользуются нашими услугами, и перед обществом в целом. Мы смущены, разочарованы и, прежде всего, нам жаль. Мы знаем, что должны работать, чтобы восстановить ваше доверие, и мы будем поддерживать все усилия по привлечению виновных к ответственности", - заявили в Twitter.
Атака началась с подстрекательства хакера, заявившего, что он работает в Twitter
Еще больше подробностей сообщила газета The New York Times. По ее данным, атака на соцсеть началась с обмена сообщениями между двумя хакерами на платформе Discord. Один из них, под ником Kirk, заявил собеседнику под псевдонимом lol, что якобы работает в Twitter. Он продемонстрировал, что может получить доступ к ценным аккаунтам, что требует внутреннего доступа к компьютерным системам компании.
Lol спустя сутки решил, что его собеседник не работает в Twitter, так как тот уже очень хотел навредить компании, пишет газета. При этом у Kirk действительно был доступ к самым чувствительным инструментам соцсети, которые позволяли ему проникнуть практически в любую учетную запись, включая аккаунты знаменитостей.
NYT утверждает, что с ней связались четыре участника взлома, предъявив множество логов и скриншотов переписки, происходившей как до атаки, так и после нее. Из этих разговоров следует, что нападение не было скоординировано какой-либо страной или организованной группой хакеров: взломщиками оказались ранее незнакомые между собой молодые люди. Одному из них чуть больше 20, другому 19, он живет на юге Англии вместе с матерью.
Пользователь Kirk, сыгравший ключевую роль в атаке, до сих пор не был известен в хакерской среде, его профиль на платформе Discord был создан только 7 июля. Кем он в действительности является, доподлинно неизвестно. Lol и хакер под ником ever so anxious, с которыми связался Kirk, напротив, были хорошо известны на сайте OGusers.com, где хакеры годами встречались, чтобы покупать и продавать ценные имена в социальных сетях.
Все хакеры, связавшиеся с NYT, интересовались короткими адресами в Twitter, которые состоят из одной буквы или цифры - например, @у или @6. Такие адреса обычно принадлежат первым пользователям сервиса или приложения и представляют большой интерес для взломщиков, которые крадут их у владельцев и перепродают за тысячи долларов.
Kirk связался с lol и ever so anxious, предложив им быть посредниками при продаже Twitter-аккаунтов и посулив долю с каждой сделки. Одной из первых сделок lol стала продажа имени @y за 1500 долларов в биткоинах. Деньги поступили на тот же кошелек, на который "Кирку" приходили позже платежи от пользователей, поверивших в сообщения со взломанных аккаунтов знаменитостей.
Хакеры разместили объявление на сайте OGusers.com, где предлагали короткие адреса в Twitter в обмен на биткоины. Еver so anxious в итоге присвоил себе адрес @anxious, который давно хотел. Ближе к утру клиентов у мошенников становилось все больше, а расценки росли.
Kirk быстро менял основные параметры безопасности для любого имени пользователя и отправлял изображения внутренних панелей Twitter в качестве доказательства того, что он взял под контроль запрошенные учетные записи. В итоге группа успела продать адреса @dark, @w, @l, @50 @vague и многие другие.
Одним из клиентов взломщиков стал известный 21-летний британский хакер PlugWalkJoe: он купил адрес @6, но, по его словам, не имел отношения к взлому. Он назвал свое настоящее имя - Джозеф О'Коннор, и заявил, что не боится возможного визита полиции, так как "ничего не сделал".
О'Коннор рассказал со слов других хакеров, что Kirk получил доступ к учетным данным Twitter, найдя путь к внутреннему каналу обмена сообщениями Slack между сотрудниками Twitter. Источники NYT среди людей, занимающихся расследованием взлома согласились с этой версией.
Ever so anxious, по данным газеты, уже не застал взлом аккаунтов знаменитостей, так как пошел спать. Наутро, узнав о случившемся, он поделился с пользователем lol своим разочарованием по поводу того, что Kirk смог заработать только 20 биткоинов (180 тысяч долларов). Сам же Kirk перестал отвечать своим партнерам и исчез.
