Den europeiske banken for gjenoppbygging og utvikling sliter med å sparke hackere ut av sin Twitter-konto

EBRD Twitter Hack

Den europeiske banken for gjenoppbygging og utvikling (EBRD) sosiale medier-teamet hadde en begivenhetsrik dag i går. Det hele startet om morgenen da de våknet til et par hacket Twitter-kontoer.

En oppmerksomhetssøkende hacker kompromitterte EBRDs Twitter-kontoer

Noen hadde overtatt profilene @EBRD og @EBRDgreen og hadde lagt ut en serie rare tweets. Angriperen ønsket tilsynelatende å trekke oppmerksomheten til mainstream media, og det er grunnen til at noen av tweets merket fremtredende BBC-journalister. I andre tilfeller oppfordret hackeren EBRDs 40 000 følgere til å sjekke ut en Instagram-konto som viser skjermbilder av kompromitterte bekreftede Twitter-profiler, og enda en tweet pekte brukere til en Twitter-konto full av banning. Eieren av den nevnte kontoen virker ganske takknemlig for shoutout.

På et tidspunkt ba hackeren om omveksling i bytte mot "skitten mynt", og dessverre brukte de også den populære kontoen for å få fram noen rasistiske slur.

EBRD prøvde å gjenvinne kontrollen over kontoen sin

Graham Cluley var vitne til EBRDs kamp for å gjenvinne kontrollen over Twitter-kontoene sine. Først kunngjorde bankens team på sosiale medier at regnskapet var blitt angrepet, men uttrykte håp om at situasjonen hadde blitt satt "under kontroll." Det viste seg at dette ikke var tilfelle.

Etter en serie støtende tweets, postet EBRDs hovedkonto en offentlig forespørsel til Twitters støtteprofil om å få kontoen låst på grunn av angrepet. Senere prøvde imidlertid noen med kontroll over EBRDs håndtak å trekke forespørselen tilbake med en tweet full av grammatiske feil.

Heldigvis klarte EBRD til slutt å få regnskapet tilbake. Den la senere ut unnskyldning for det rasistiske innholdet og sa at det prøver å finne ut hva som gikk galt.

Antallet sikkerhetsrelaterte hendelser på Twitter øker

Det ville være ganske enkelt å kaste all skylden på EBRDs team for sosiale medier og hevde at de burde vært mer oppmerksom på kontoenes sikkerhet. Tradisjonelt er det et ubegrenset antall måter å kapre en Twitter-konto på. Angriperne kan gjette offerets påloggingsinformasjon, de kan phish passordet, eller de kan bryte seg inn ved hjelp av en gammel tredjepartsapp. Å ikke la alt dette skje er faktisk offerets jobb, men det er tilfeller når de angrepne brukerne og organisasjonene ikke kan gjøre mye.

Ikke mer enn et par uker siden, for eksempel hackere lagt ut tweets på vegne av en rekke fremtredende politikere, entreprenører og musikere og kjørte en kryptovaluta svindel som har gjort tusenvis av dollar i løpet av noen korte timer. Det ble senere tydelig at angrepet stolte på noen hjelp innenfra.

I juni truet en feil med å utsette kontakten og personopplysningene til Twitter-annonsører, og i 2018 la mikrobloggingsplattformen tilfeldigvis 330 millioner ren tekstpassord i en intern fil.

Det er foreløpig ikke klart hvordan angrepet mot EBRD spilte ut, men det er ikke noe som benekter det faktum at antallet høyprofilerte sikkerhetshendelser rundt populære Twitter-profiler vokser. Dette er noe Jack Dorseys team kanskje burde se nærmere på.

July 30, 2020

Legg igjen et svar