A hackerek bizonyítják, hogy mennyire könnyű átvenni a Twitter-fiókokat Jack Dorsey profiljának eltérítése által
Milyen következményekkel jár a kompromittált közösségi hálózati fiók? Igaz azt mondani, hogy nagymértékben attól függ, hogy ki rendelkezik az említett fiókkal. A legtöbb szokásos felhasználó számára ez csak egy kellemetlenség, amely - ha kellő figyelmet fordítanak az online biztonságra - nem okozhat túl sok fájdalmat. Azok számára, akiknek sok követője van és pénzt keresnek a közösségi média jelenlétéből, a hatás sokkal jelentősebb.
Amikor azonban a szociális média weboldaláért felelős személy veszélybe kerül a számlájával, a kínos szint mind az említett személy, mind az általa ápolt platform szempontjából valóban óriási. Jack Dorsey, a Twitter társalapítója és vezérigazgatója ezt az érzést túl jól ismeri.
Pénteken a Dorsey 4,2 millió követője a Twitteren hirtelen egy szokatlan tweet-patak szemtanúja volt. Két különféle okból szokatlan volt. Először is, annak ellenére, hogy a platformot működteti, Dorsey nem pontosan a legaktívabb Twitter-felhasználó a világon, és ritkán küld több frissítést rövid időn belül. Ennél is fontosabb, hogy a csengőhangok nem igazán voltak a Szilícium-völgy egyik nagyvállalatának vezérigazgatója. Rasszista zavarokat és üzeneteket tartalmaztak, amelyek teljesen kívül vannak a kontextusból. Az emberek azonnal gyanították, hogy Dorsey fiókját feltörték, és a #ChucklingSquad hashtag kiküszöbölte minden kétséget.
Ahogyan a The Verge rámutatott, a Chuckling Squad olyan számítógépes bűnözők csoportja, akik számos híresség és a közösségi média személyisége számlájának feltörésével próbálják megnevezni magukat, és Jack Dorsey a mai napig legjelentősebb áldozata. A szélhámos tweeteket gyorsan eltávolították, és a Twitter beismerte, hogy a vezérigazgató valóban veszélyeztette fiókját. De hogyan csinálta a Chuckling Squad?
Jack Dorsey egy SIM-csere-támadás áldozata lett
Dorsey messze van az első Silicon Valley ügyvezető igazgatótól, aki szociális média profilját eltérítették. Pár évvel ezelőtt a hackerek híresen több fiókot szétvertek, amelyek maga a Szociális Hálózat, Mark Zuckerberg tulajdonában voltak. Azt tették, miután rájött, hogy a Facebook vezérigazgatója nem óriási rajongója a két tényezős hitelesítésnek, és bosszantóan egyszerű jelszóval védi a fiókjait.
Valójában Jack Dorsey számára sem új az az érzés, hogy elveszíti számlája ellenőrzését a saját platformján. 2016-ban a számítógépes bűnözők kihasználtak néhány nem használt harmadik féltől származó alkalmazást, hogy Dorsey nevében néhány szélhámos tweetet küldjenek.
A pénteki támadás során azonban a csalók nem használtak harmadik féltől származó alkalmazást, és Dorsey jelszavát sem tudták kitalálni. Ehelyett a SIM-csere technikának nevezték el a számlát.
Egy SIM-csere-támadás során a bűnözők meggyőzik a mobil szolgáltatókat, hogy állítsanak ki új, az áldozat telefonszámához társított SIM-kártyát. Ilyen módon ellenőrzik az említett telefonszámot, és megszemélyesítik a célt. Jack Dorsey esetében tweeteket írtak a nevében.
Meg tudták csinálni, mert a Dorsey mikroblog platformján már egy ideje szerepel a „Twitter SMS-sel” funkció. Meglehetősen kevés országban érhető el a felhasználók számára, és mint gondolnád, a fióktulajdonosok olyan szövegeket küldhetnek, amelyek tweetként jelennek meg a profiljukon. Használata egy sor parancsot, akkor is csipog és hasonló frissítések más emberek, nyomon, blokk, és küldje közvetlen üzeneteket más fiókokba. Miután Jack Dorsey telefonszámát eltérítették, a bűnözők ezeket is meg tudták tenni.
A Twitter azt mondja, hogy nem hibás
A támadás nyomán a Twitter egy tweet sorozatban elmondta , hogy az egész "a mobilszolgáltató biztonsági felügyelete" eredménye. A kommunikációs csapat bejelentette, hogy a Twitter saját rendszere nem került veszélybe, és úgy döntött, hogy nem tárja fel, milyen mechanizmusok akadályozzák meg a hasonló támadásokat a jövőben.
Alapvetően úgy hangzik, hogy a Twitter szerint minden hibát a mobilszolgáltató küszöbén kell fektetni, ami a legjobb esetben ellentmondásos. Valójában Dorsey telco nem tett eleget a telefonszámának védelme érdekében, és ez önmagában elég aggasztó, figyelembe véve a károk összegét, amelyet egyetlen eltérített számmal lehet elérni.
Másrészt azonban az olyan online szolgáltatásoknak, mint a Twitter, mindent meg kell tenniük annak érdekében, hogy a lehető legnagyobb mértékben korlátozzák ezt a károkat, és az a mód, ahogyan a mikroblog-webhely a támadásra reagált, nem azt sugallja, hogy ezt a felelősséget nagyon komolyan veszi. A SIM-csere ma már meglehetősen régi trükk, és ennek mindenki fenyegetési modelljének kell lennie. Sajnos a távközlési szolgáltatók minden bizonnyal lemaradnak a megelőzésről, és ha bármi is legyen, ennek még inkább ösztönöznie kell a biztonsági embereket, hogy tegyenek meg minden tőlük telhetőt, hogy megvédjenek minket.