Piratai įrodo, kaip lengva perimti „Twitter“ paskyras, užgrobiant Jacko Dorsey profilį

Kokios yra sugadintos socialinio tinklo paskyros pasekmės? Teisinga sakyti, kad tai labai priklauso nuo to, kam priklauso minėta sąskaita. Daugeliui įprastų vartotojų tai yra nepatogumai, kurie, jei jie pakankamai atsižvelgia į savo saugumą internete, neturėtų sukelti per daug skausmo. Žmonėms, kurie turi daug pasekėjų ir uždirba pinigus iš savo buvimo socialinėje žiniasklaidoje, poveikis yra daug reikšmingesnis.

Kai už socialinės žiniasklaidos tinklalapį atsakingam asmeniui kyla pavojus, kad jo paskyra yra nepatogi, tiek minėtam asmeniui, tiek ir platformai, kurioje jie prižiūri, yra nepatogu. „Twitter“ įkūrėjas ir generalinis direktorius Jackas Dorsey šį jausmą žino per gerai.

Penktadienį 4,2 milijono „Dorsey“ sekėjų „Twitter“ staigiai stebėjo neįprastą tviterio srautą. Tai buvo neįprasta dėl dviejų skirtingų priežasčių. Pirma, nors Dorsey ir valdo platformą, jis nėra pats aktyviausias „Twitter“ vartotojas pasaulyje ir retai skelbia kelis atnaujinimus per trumpą laiką. Dar svarbiau, kad tviteriai tikrai nebuvo tinkami vienos didžiausių Silicio slėnio kompanijos generaliniam direktoriui. Juose buvo rasistinis šurmulys ir pranešimai, visiškai nepatenkantys į kontekstą. Žmonės iškart įtarė, kad Dorsey sąskaita galėjo būti nulaužta, o #ChucklingSquad hashtag pašalino visas abejones.

Kaip pažymėjo „The Verge“, „Chuckling Squad“ yra grupė kibernetinių nusikaltėlių, bandančių užsitikrinti sau vardą, įsilauždami daugybės įžymybių ir socialinės žiniasklaidos asmenybių sąskaitas, o Jackas Dorsey yra iki šiol jų aukščiausio lygio aukos. Nesąžiningi „tweets“ buvo greitai pašalinti, o „Twitter“ pripažino, kad jo generaliniam direktoriui iš tiesų jo sąskaita buvo pažeista. Bet kaip tai padarė Chuckling Squad?

Jackas Dorsey tapo SIM apsikeitimo atakos auka

Dorsey toli gražu nėra pirmasis Silicio slėnio generalinis direktorius, kuriam buvo užgrobtas jo socialinės žiniasklaidos profilis. Prieš porą metų įsilaužėliai garsiai įsilaužė į kelias paskyras, kurios priklausė pačiam socialinio tinklo ponui Markui Zuckerbergui. Jie tai padarė išsiaiškinę, kad „Facebook“ generalinis direktorius nėra didelis dviejų veiksnių autentifikavimo gerbėjas ir naudoja apgaulingai paprastą slaptažodį, kad apsaugotų savo paskyras.

Tiesą sakant, jausmas, kad prarandate savo sąskaitą savo platformoje, nėra naujas dalykas ir Jackui Dorsey. 2016 metais kibernetiniai nusikaltėliai išnaudojo kai kurias nenaudojamas trečiųjų šalių programas, kad Dorsey vardu nusiųstų kelis nesąžiningus tviterius.

Tačiau penktadienio atakos metu sukčiai nesinaudojo trečiųjų šalių programomis ir neatspėjo ir Dorsey slaptažodžio. Vietoj to, jie perėmė sąskaitą, naudodami metodą, vadinamą SIM apsikeitimu.

Dalyvaudami SIM kortelėje nusikaltėliai įtikina mobiliųjų paslaugų teikėjus išduoti naują SIM kortelę, susietą su aukos telefono numeriu. Tokiu būdu jie gali valdyti minėtą telefono numerį ir gali apsimesti taikiniu. Jacko Dorsey atveju jie taip pat paskelbė tviterius jo vardu.

Jie sugebėjo tai padaryti, nes „Dorsey“ mikroblogų platforma jau kurį laiką turėjo funkciją, pavadintą „Twitter per SMS“. Jis prieinamas vartotojams daugelyje šalių ir, kaip jūs galite įsivaizduoti, leidžia paskyros savininkams siųsti tekstus, kurie jų profilyje rodomi kaip tviteriai. Naudodamiesi komandų rinkiniu, jie taip pat gali retransliuoti ir mėgsta kitų žmonių atnaujinimus, sekti, blokuoti ir siųsti tiesioginius pranešimus į kitas paskyras. Po to, kai užgrobė Jacko Dorsey telefono numerį, nusikaltėliai taip pat sugebėjo padaryti visus šiuos dalykus.

„Twitter“ sako, kad nekaltas

Po išpuolio „Twitter “ per kelis tviterius teigė, kad visa tai buvo „mobiliojo ryšio paslaugų teikėjo saugumo priežiūros rezultatas“. Ryšių komanda paskelbė, kad pačios „Twitter“ sistemos nebuvo pažeistos, ir nusprendė neatskleisti, kokie mechanizmai užkirs kelią panašioms išpuoliams ateityje.

Iš esmės skamba taip, kaip „Twitter“ mano, kad visa kaltė turėtų būti už mobiliųjų paslaugų teikėjo slenksčio, o tai geriausiu atveju yra prieštaringai vertinama. Iš tikrųjų Dorsey telefono kodas nepadarė pakankamai, kad apsaugotų savo telefono numerį, ir tai savaime yra gana neramus, atsižvelgiant į žalos, kurią galima padaryti naudojant vieną užgrobtą numerį, dydį.

Kita vertus, internetinės paslaugos, tokios kaip „Twitter“, turėtų daryti viską, ką gali, kad kuo labiau apribotų šią žalą, ir tai, kaip mikroblogo tinklalapiai reagavo į išpuolį, dar nereiškia, kad ji imasi šios atsakomybės labai rimtai. Šiuo metu SIM kortelių keitimas yra gana senas triukas ir tai turėtų būti kiekvieno grėsmės modelio dalis. Deja, telekomunikacijų paslaugų teikėjai tikrai atsilieka nuo prevencijos, ir, jei kas, tai turėtų dar labiau paskatinti saugumo žmones padaryti viską, kas įmanoma, kad mus apsaugotų.