Hackers bewijzen hoe gemakkelijk het is om Twitter-accounts over te nemen door het profiel van Jack Dorsey te kapen

Jack Dorsey's Twitter Account Gets Hijacked

Wat zijn de gevolgen van een gecompromitteerd sociaal netwerkaccount? Het is eerlijk om te zeggen dat het grotendeels afhangt van wie de genoemde account bezit. Voor de meeste vaste gebruikers is het slechts een ongemak dat, mits zij voldoende aandacht besteden aan hun online beveiliging, niet teveel pijn zou moeten veroorzaken. Voor mensen die veel volgers hebben en geld verdienen met hun aanwezigheid op sociale media, is de impact veel groter.

Wanneer een persoon die verantwoordelijk is voor een sociale media-website zijn account in gevaar brengt, is het niveau van schaamte, zowel voor de genoemde persoon als voor het platform waar ze voor zorgen, echt enorm. Mede-oprichter en CEO van Twitter Jack Dorsey kent dit gevoel maar al te goed.

Op vrijdag waren de 4,2 miljoen volgers van Dorsey op Twitter plotseling getuige van een ongebruikelijke stroom tweets. Het was ongebruikelijk om twee verschillende redenen. Ten eerste, hoewel hij het platform beheert, is Dorsey niet bepaald de meest actieve Twitter-gebruiker ter wereld en publiceert hij zelden meerdere updates binnen een kort tijdsbestek. Nog belangrijker is echter dat de tweets niet echt pasten bij de CEO van een groot bedrijf in Silicon Valley. Ze bevatten racistische leugens en berichten die volledig uit de context waren. Mensen vermoedden onmiddellijk dat het account van Dorsey mogelijk was gehackt en de hashtag #ChucklingSquad wist alle twijfels weg.

Zoals The Verge opmerkte, is Chuckling Squad een groep cybercriminelen die naam proberen te maken door de accounts van een aantal beroemdheden en social media-persoonlijkheden te hacken, en Jack Dorsey is hun meest prominente slachtoffer tot nu toe. De malafide tweets werden snel verwijderd en Twitter gaf toe dat zijn CEO inderdaad zijn account had aangetast. Maar hoe deed de Chuckling Squad het?

Jack Dorsey werd slachtoffer van een SIM-swapping-aanval

Dorsey is verre van de eerste CEO van Silicon Valley die zijn profiel op sociale media heeft gekaapt. Een paar jaar geleden hebben hackers beroemd ingebroken in meerdere accounts die eigendom waren van Mr. Social Network zelf, Mark Zuckerberg. Ze deden het nadat ze erachter kwamen dat de CEO van Facebook geen grote fan is van tweefactorauthenticatie en een vreselijk eenvoudig wachtwoord gebruikt om zijn accounts te beschermen.

Het gevoel dat u de controle over uw account op uw eigen platform verliest, is ook niet nieuw voor Jack Dorsey. In 2016 hebben cybercriminelen enkele ongebruikte apps van derden misbruikt om namens Dorsey een paar malafide tweets te verzenden.

Tijdens de aanval van vrijdag gebruikten de boeven echter geen app van derden, en ze dachten ook niet naar het wachtwoord van Dorsey. In plaats daarvan namen ze het account over met behulp van een techniek die SIM-swapping werd genoemd.

Bij een sim-swapping-aanval overtuigen de criminelen mobiele serviceproviders om een nieuwe simkaart uit te geven die hoort bij het telefoonnummer van het slachtoffer. Op die manier hebben ze controle over het genoemde telefoonnummer en kunnen ze het doelwit nadoen. In het geval van Jack Dorsey hebben ze ook tweets namens hem geplaatst.

Ze konden dat doen omdat het microblogplatform van Dorsey al een tijdje de functie 'Twitter via sms' heeft. Het is beschikbaar voor gebruikers in een behoorlijk aantal landen, en zoals je je misschien kunt voorstellen, kunnen accounteigenaren teksten verzenden die als tweets op hun profiel verschijnen. Met behulp van een reeks opdrachten kunnen ze ook updates van andere mensen retweet en leuk vinden, directe berichten volgen, blokkeren en naar andere accounts sturen. Na het telefoonnummer van Jack Dorsey te hebben gekaapt, konden de criminelen al deze dingen ook doen.

Twitter zegt dat het niet de schuld is

In de nasleep van de aanval zei Twitter in een reeks tweets dat het hele resultaat het resultaat was van "een veiligheidstoezicht door de mobiele provider". Het communicatieteam heeft aangekondigd dat de eigen systemen van Twitter niet zijn aangetast en besloot niet te onthullen wat voor soort mechanismen soortgelijke aanvallen in de toekomst zouden voorkomen.

Het klinkt eigenlijk alsof Twitter denkt dat alle schuld bij de deur van de mobiele serviceprovider moet liggen, wat op zijn best controversieel is. De telco van Dorsey heeft inderdaad niet genoeg gedaan om zijn telefoonnummer te beschermen, en dit is op zichzelf behoorlijk verontrustend, gezien de hoeveelheid schade die kan worden bereikt met behulp van een enkel gekaapt nummer.

Aan de andere kant moeten online diensten zoals Twitter er alles aan doen om deze schade zoveel mogelijk te beperken, en de manier waarop de microblogwebsite op de aanval reageerde, suggereert niet echt dat het deze verantwoordelijkheid zeer serieus neemt. SIM-swapping is nu een vrij oude truc en het zou deel moeten uitmaken van ieders dreigingsmodel. Helaas blijven telecommunicatieproviders zeker achter als het gaat om preventie, en als dit iets is, zou dit voor veiligheidsmensen nog meer een stimulans moeten zijn om alles te doen wat ze kunnen om ons te beschermen.

November 22, 2019
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.