Hakerzy udowodnią, jak łatwo można przejąć konta na Twitterze, przejmując profil Jacka Dorseya

Jakie są konsekwencje przejęcia konta sieci społecznościowej? Można śmiało powiedzieć, że w dużej mierze zależy to od tego, kto jest właścicielem tego konta. Dla większości zwykłych użytkowników jest to niedogodność, która pod warunkiem, że zwracają wystarczającą uwagę na swoje bezpieczeństwo online, nie powinna powodować zbyt dużego bólu. Dla osób, które mają wielu obserwujących i zarabiają na swojej obecności w mediach społecznościowych, wpływ jest znacznie większy.

Gdy jednak osoba odpowiedzialna za serwis społecznościowy zostaje naruszona, jej poziom zawstydzenia, zarówno dla tej osoby, jak i dla platformy, którą się opiekuje, jest naprawdę ogromny. Współzałożyciel i dyrektor generalny Twittera Jack Dorsey zbyt dobrze zna to uczucie.

W piątek 4,2 miliona obserwujących Dorseya na Twitterze nagle zobaczyło niezwykły strumień tweetów. Było to niezwykłe z dwóch różnych powodów. Po pierwsze, chociaż prowadzi platformę, Dorsey nie jest najaktywniejszym użytkownikiem Twittera na świecie i rzadko publikuje wiele aktualizacji w krótkim czasie. Co ważniejsze, tweety tak naprawdę nie pasowały do dyrektora generalnego dużej firmy z Doliny Krzemowej. Zawierały rasistowskie obelgi i wiadomości, które są całkowicie poza kontekstem. Ludzie od razu podejrzewali, że konto Dorsey mogło zostać zhakowane, a hashtag #ChucklingSquad rozwiał wszelkie wątpliwości.

Jak zauważył The Verge, Chuckling Squad to grupa cyberprzestępców, którzy próbują wyrobić sobie markę, hakując konta wielu celebrytów i osobistości z mediów społecznościowych, a Jack Dorsey jest ich najbardziej znaną ofiarą. Nieuczciwe tweety zostały szybko usunięte, a Twitter przyznał, że jego dyrektor generalny rzeczywiście złamał jego konto. Ale jak to zrobił Oddział Chuckling?

Jack Dorsey padł ofiarą ataku polegającego na zamianie karty SIM

Dorsey jest daleki od pierwszego CEO w Dolinie Krzemowej, któremu udało się porwać jego profil w mediach społecznościowych. Kilka lat temu hakerzy włamali się na wiele kont należących do samego pana Social Network, Marka Zuckerberga. Zrobili to po odkryciu, że prezes Facebooka nie jest wielkim fanem uwierzytelniania dwuskładnikowego i używa niezwykle prostego hasła do ochrony swoich kont.

W rzeczywistości poczucie utraty kontroli nad kontem na własnej platformie również nie jest dla Jacka Dorseya nowe. W 2016 roku cyberprzestępcy wykorzystali niektóre nieużywane aplikacje innych firm, aby wysłać kilka nieuczciwych tweetów w imieniu Dorsey.

Jednak podczas piątkowego ataku oszuści nie korzystali z aplikacji innych firm i nie odgadli hasła Dorsey. Zamiast tego przejęli konto przy użyciu techniki zwanej zamianą SIM.

W ataku polegającym na zamianie karty SIM przestępcy przekonują dostawców usług mobilnych do wydania nowej karty SIM powiązanej z numerem telefonu ofiary. W ten sposób mają kontrolę nad tym numerem telefonu i mogą podszyć się pod cel. W przypadku Jacka Dorseya opublikowali także tweety w jego imieniu.

Byli w stanie to zrobić, ponieważ platforma mikroblogowania Dorsey od jakiegoś czasu ma funkcję „Twitter przez SMS”. Jest dostępny dla użytkowników w wielu krajach i, jak można sobie wyobrazić, pozwala właścicielom kont wysyłać teksty, które pojawiają się w tweetach w ich profilu. Za pomocą zestawu poleceń mogą także przesyłać dalej i polubić aktualizacje innych osób, śledzić, blokować i wysyłać bezpośrednie wiadomości na inne konta. Po przejęciu numeru telefonu Jacka Dorseya przestępcy byli w stanie zrobić te wszystkie rzeczy.

Twitter mówi, że nie można tego winić

Po ataku Twitter napisał w szeregu tweetów, że cała sprawa była wynikiem „nadzoru nad bezpieczeństwem operatora komórkowego”. Zespół ds. Komunikacji ogłosił, że własne systemy Twittera nie zostały naruszone, i postanowił nie ujawniać, jakie mechanizmy zapobiegałyby podobnym atakom w przyszłości.

Wygląda na to, że Twitter uważa, że cała wina powinna leżeć u progu dostawcy usług mobilnych, co w najlepszym razie jest kontrowersyjne. Rzeczywiście, telekomunikacja Dorseya nie zrobiła wystarczająco dużo, aby chronić swój numer telefonu, a to samo w sobie jest dość niepokojące, biorąc pod uwagę liczbę szkód, które można uzyskać za pomocą jednego przejętego numeru.

Z drugiej strony jednak serwisy internetowe, takie jak Twitter, powinny zrobić wszystko, co w ich mocy, aby ograniczyć szkody w jak największym stopniu, a sposób, w jaki strona internetowa zajmująca się mikroblogowaniem zareagowała na atak, nie sugeruje, że bierze to na siebie bardzo poważnie. Wymiana kart SIM jest teraz dość starą sztuczką i powinna być częścią modelu zagrożeń wszystkich użytkowników. Niestety, dostawcy usług telekomunikacyjnych z pewnością pozostają w tyle, jeśli chodzi o zapobieganie, a jeśli już, to powinno to stanowić jeszcze większą zachętę dla pracowników ochrony do robienia wszystkiego, co w ich mocy, aby nas chronić.