Hackere bevise, hvor nemt det er at overtage Twitter-konti ved at kapre Jack Dorseys profil

Hvad er konsekvenserne af en kompromitteret socialt netværkskonto? Det er rimeligt at sige, at det i vid udstrækning afhænger af, hvem der ejer den nævnte konto. For de fleste regelmæssige brugere er det kun en ulempe, der forudsat at de er opmærksomme på deres online sikkerhed, ikke burde forårsage for meget smerter. For mennesker, der har mange tilhængere og tjener penge på deres tilstedeværelse på sociale medier, er virkningen meget mere betydelig.

Når en person, der er ansvarlig for et websted på sociale medier, får deres konto kompromitteret, er niveauet af forlegenhed, både for den nævnte person og for den platform, de ser efter, virkelig et enormt niveau. Medstifter og CEO af Twitter Jack Dorsey kender denne følelse alt for godt.

Fredag var Dorseys 4,2 millioner følgere på Twitter pludselig vidne til en usædvanlig strøm af tweets. Det var usædvanligt af to forskellige grunde. For det første, selvom han kører platformen, er Dorsey ikke nøjagtigt den mest aktive Twitter-bruger i verden, og han sender sjældent flere opdateringer inden for en kort tidsramme. Men endnu vigtigere var, at tweets ikke rigtigt passer med administrerende direktør for et større Silicon Valley-selskab. De indeholdt racistisk slur og meddelelser, der er helt ude af kontekst. Folk havde øjeblikkeligt mistanke om, at Dorsey's konto muligvis var blevet hacket, og #ChucklingSquad- hashtag ryddet enhver tvivl.

Som The Verge påpegede, er Chuckling Squad en gruppe cyberkriminelle, der forsøger at give sig et navn ved at hacking regnskaberne fra en række berømtheder og personlige sociale medier, og Jack Dorsey er deres hittil mest profilerede offer. De useriøse tweets blev hurtigt fjernet, og Twitter indrømmede, at dens administrerende direktør faktisk havde haft hans konto kompromitteret. Men hvordan gjorde Chuckling Squad det?

Jack Dorsey faldt offer for et SIM-bytteangreb

Dorsey er langt fra den første administrerende direktør i Silicon Valley, der har sin sociale medieprofil kapret. For et par år siden brød hackere berømt ind i flere konti, der tilhørte Mr. Social Network selv, Mark Zuckerberg. De gjorde det efter at have fundet ud af, at Facebooks administrerende direktør ikke er en stor fan af tofaktorautentisering og bruger en desværre simpel adgangskode til at beskytte hans konti.

Faktisk er følelsen af at miste kontrollen over din konto på din helt egen platform heller ikke ny for Jack Dorsey. I 2016 udnyttede cyberkriminelle nogle ubenyttede tredjepartsapps til at sende et par useriøse tweets på Dorseys vegne.

Under fredagens angreb brugte skurkerne dog ikke en tredjepart-app, og de gætte heller ikke Dorseys adgangskode. I stedet overtog de kontoen ved hjælp af en teknik kaldet SIM-swapping.

I et SIM-bytteangreb overbeviser kriminelle mobiltelefonudbydere om at udstede et nyt SIM-kort, der er tilknyttet offerets telefonnummer. På den måde har de kontrol over det nævnte telefonnummer og kan efterligne sig målet. I tilfælde af Jack Dorsey, udsendte de også tweets på hans vegne.

De var i stand til det, fordi Dorsey's microblogging-platform har haft en funktion kaldet "Twitter via SMS" i et stykke tid nu. Det er tilgængeligt for brugere i ganske mange lande, og som du måske forestiller dig, lader det kontoejere sende tekster, der vises som tweets på deres profil. Ved hjælp af et sæt kommandoer kan de også gentweet og lide opdateringer fra andre mennesker, følge, blokere og sende direkte beskeder til andre konti. Efter at have kapret Jack Dorseys telefonnummer kunne kriminelle også gøre alle disse ting.

Twitter siger, at det ikke er skylden

I kølvandet på angrebet sagde Twitter i en række tweets, at det hele var resultatet af "en sikkerhedsovervågning fra mobiludbyderen". Kommunikationsteamet meddelte, at Twitter's egne systemer ikke er kompromitteret og besluttede ikke at afsløre, hvilken slags mekanismer der ville forhindre lignende angreb i fremtiden.

Det lyder grundlæggende som om Twitter mener, at al skyld skal lægges på mobiludbyderens dørtrin, hvilket i bedste fald er kontroversielt. Dorsey's telco gjorde faktisk ikke nok for at beskytte hans telefonnummer, og dette i sig selv er temmelig bekymrende i betragtning af mængden af skade, der kan opnås ved hjælp af et enkelt kapret nummer.

På den anden side bør online-tjenester som Twitter imidlertid gøre alt, hvad de kan, for at begrænse denne skade så meget som muligt, og den måde, hvorpå mikroblogging-websitet reagerede på angrebet, tyder ikke rigtig på, at det tager dette ansvar meget alvorligt. SIM-udskiftning er et ret gammelt trick nu, og det skal være en del af alles truselmodel. Desværre hænger telekommunikationsudbydere helt sikkert tilbage, når det gælder forebyggelse, og hvis noget skulle dette være endnu mere et incitament for sikkerhedsfolk til at gøre alt, hvad de kan for at beskytte os.