V noci z 15. na 16. července se podařilo útočníkům získat přístup k několika prominentním Twitterovým účtům a vylákat z dalších uživatelů platby v Bitcoinech. Přináším přehled, co už o útoku víme.
Na účtech významných osobností a celebrit se 15. července objevil neobvyklý vzkaz. Ve všech případech zněl prakticky stejně: „chci pomoci společnosti kvůli situaci vzniklou pandemií koronaviru. Během následující půl hodiny zdvojnásobím vaše dary v Bitcoinech.“ Tweety obsahovaly i čísla peněženek.
Ukázka podvodného tweetu | Zdroj: Twitter
Cílem se stal Barack Obama, Joe Biden, Elon Musk, Bill Gates, Kanye West, Michael Bloomberg, Kim Kardashian nebo firma Apple. Šlo výhradně o ověřené účty. (Tedy účty veřejně známých osobností/firem. Verifikace dokazuje, že jde o autentický profil.) K převzetí účtů došlo ve 4 hodiny večer východního času a trvalo více než 2 hodiny.
Poté Twitter ověřené účty zablokoval, aby nebylo možné z nich sdílet příspěvky. Blokace trvala až do následujícího dne. Podobný krok je zcela bezprecedentní.
We have locked accounts that were compromised and will restore access to the original account owner only when we are certain we can do so securely.
— Twitter Support (@TwitterSupport) July 16, 2020
Někteří uživatelé se zřejmě nechali napálit. Podle veřejných informací si jen na jedné z peněženek útočníci přišli asi na 12,86 BTC (což je zhruba 2,7 milionu Kč). Faktem je, že prostředky z peněženky také velmi rychle mizí a aktuální zůstatek je minimální.
Podle portálu Trendmaps.com celkově frázi „I am giving back to my community due to COVID-19“ různé účty tweetovaly více než 3 300x.
Jak k útoku došlo
V tuto chvíli Twitter stále incident vyšetřuje a prozatím nepublikovali přesné závěry. Nicméně podle dostupných informací útočníci zneužili interní nástroj Twitteru. Patrně za pomoci někoho uvnitř společnosti.
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Twitter Support (@TwitterSupport) July 16, 2020
Podle zjištění společnosti Motherboard, útočníci zaplatili zaměstnanci Twitteru, aby změnil v interním nástroji e-mailové adresy propojené s účty a získal tak nad nimi kontrolu.
Motherboard sdílel také obrázek nástroje, ve kterém mělo dojít ke kompromitaci účtů. Twitter tyto snímky zatím nepotvrdil, ale Tweety s nimi odstraňuje pro porušení podmínek.
Ukázka interního nástroje | Zdroj: Motherboard
Krom blokace verifikovaných účtů Twitter neoznámil žádné další kroky ani zjištění. V pátek 17. července se vyšetřování ujala FBI.
Vzhledem k povaze tohoto incidentu, tzn. jeho náročnosti na koordinaci jednotlivých aktivit lze důvodně předpokládat, že se jedná o skupinu útočníků. Podobně významné útoky z nedávné minulosti byly takřka výhradně dílem organizovaných skupin.
Václav Zubr, bezpečnostní expert ESET pro ČT24
Jaké kroky se podnikají k zabezpečení účtů do budoucna
Je možné, že útočníci neměli přístup jen k Tweetům jménem kompromitovaných účtů, ale také přímým vzkazům. Hypoteticky tak mohli způsobit výrazně větší škody. S ohledem na to, že mezi odcizenými účty byly i Joe Biden a Michal Bloomberg (kandidáti na post prezidenta v USA), bylo možné zneužít přístup jako součást politických ambicí útočníků. Nemluvě o tom, že soukromé zprávy mohly obsahovat i citlivé informace, které by přinejmenším kvůli ochraně osobních údajů neměly být veřejné.
Ačkoli zatím není zřejmé, jak přesně útočníci dokázali prolomit zabezpečení Twitteru, je zřejmé, že Twitter bude na incident reagovat zpřísněním opatření.
Obecně je klíčové u účtů (nejen) na sociálních sítích využívat silné heslo a především dvoufaktorové ověření. Díky tomu většina typů útoků vedených na koncové uživatele nebude možná.
Bohužel tento incident jen dokazuje, že nejzranitelnějším článkem celého řetězce jsou lidé. Bez pomoci zaměstnance Twitteru by patrně k útoku takto masivních rozměrů nemohlo vůbec dojít.