Hackare bevisar hur lätt det är att ta över Twitter-konton genom att kapa Jack Dorseys profil

Vilka är konsekvenserna av ett komprometterat socialt nätverkskonto? Det är rättvist att säga att det till stor del beror på vem som äger nämnda konto. För de flesta vanliga användare är det bara en besvär som, förutsatt att de ägnar tillräckligt uppmärksamhet på deras online-säkerhet, inte bör orsaka för mycket smärta. För människor som har många anhängare och tjänar pengar på sin närvaro på sociala medier är effekterna mycket mer betydande.

När en person som ansvarar för en social media-webbplats får sitt konto komprometterat är emellertid nivån av förlägenhet, både för den nämnda personen och för den plattform de ser efter, verkligen enorm. Medgrundare och VD för Twitter Jack Dorsey känner denna känsla alltför väl.

På fredagen bevittnade plötsligt Dorseys 4,2 miljoner följare på Twitter en ovanlig ström av tweets. Det var ovanligt av två olika skäl. Först, även om han driver plattformen, är Dorsey inte exakt den mest aktiva Twitter-användaren i världen, och han publicerar sällan flera uppdateringar inom en kort tidsram. Ännu viktigare var dock att tweets inte passade verkställande direktören för ett stort Silicon Valley-företag. De innehöll rasistisk slur och meddelanden som är helt ur sammanhang. Folk misstänkte omedelbart att Dorsey's konto kan ha hackats och #ChucklingSquad- hashtaggen rensade all tvivel.

Som The Verge påpekade är Chuckling Squad en grupp cyberbrottslingar som försöker ge sig ett namn genom att hacking konton för ett antal kändisar och personligheter på sociala medier, och Jack Dorsey är deras hittills mest profilerade offer. De oseriösa tweets togs snabbt bort, och Twitter medgav att dess verkställande direktör verkligen hade fått sitt konto komprometterat. Men hur gjorde Chuckling Squad det?

Jack Dorsey blev offer för en SIM-byteangrepp

Dorsey är långt ifrån den första VD för Silicon Valley som har sin sociala medieprofil kapad. För ett par år sedan bröt hackare känt till flera konton som tillhörde Mr. Social Network själv, Mark Zuckerberg. De gjorde det efter att ha konstaterat att Facebook: s VD inte är ett stort fan av tvåfaktorsautentisering och använder ett sorgligt enkelt lösenord för att skydda sina konton.

Faktum är att känslan av att förlora kontrollen över ditt konto på din helt egen plattform inte heller är ny för Jack Dorsey. 2016 utnyttjade cyberbrottslingar några oanvända tredjepartsappar för att skicka ett par skurkna tweets för Dorseys räkning.

Under fredagens attack använde dock skurkarna inte en tredjepartsapp, och de gissade inte heller Dorseys lösenord. Istället tog de över kontot med en teknik som heter SIM-byte.

I en SIM-byteangrepp övertygar brottslingarna mobila tjänsteleverantörer att utfärda ett nytt SIM-kort kopplat till offrets telefonnummer. På det sättet har de kontroll över det nämnda telefonnumret och kan utge sig för målet. När det gäller Jack Dorsey postade de också tweets för hans räkning.

De kunde göra det eftersom Dorsey's mikrobloggtjänstplattform har haft en funktion som heter "Twitter via SMS" ett tag nu. Det är tillgängligt för användare i ganska många länder, och som du kan tänka dig låter det kontoägare skicka texter som visas som tweets i deras profil. Med hjälp av en uppsättning kommandon kan de också retweeta och gilla uppdateringar av andra människor, följa, blockera och skicka direktmeddelanden till andra konton. Efter att ha kapat Jack Dorseys telefonnummer kunde brottslingarna göra alla dessa saker också.

Twitter säger att det inte är skylden

I kölvattnet av attacken sa Twitter i en serie tweets att det hela var resultatet av "en säkerhetsövervakning av mobilleverantören". Kommunikationsteamet meddelade att Twitter: s egna system inte har äventyrats och beslutade att inte avslöja vilken typ av mekanismer som skulle förhindra liknande attacker i framtiden.

Det låter i princip som Twitter tycker att all skyllan bör läggas på mobiloperatörens dörr, vilket i bästa fall är kontroversiellt. I själva verket gjorde Dorsey's telco inte tillräckligt för att skydda hans telefonnummer, och detta i sig är ganska oroande med tanke på hur mycket skada som kan uppnås med ett enda kapat nummer.

Å andra sidan bör dock onlinetjänster som Twitter göra vad de kan för att begränsa denna skada så mycket som möjligt, och hur mikrobloggtjänstens webbplats svarade på attacken tyder inte riktigt på att det tar detta ansvar mycket allvarligt. SIM-byte är ett ganska gammalt trick nu, och det borde vara en del av allas hotmodell. Tyvärr släpper telekommunikationsleverantörer säkert efter när det gäller förebyggande, och om något, borde detta vara ännu mer ett incitament för säkerhetsfolk att göra allt de kan för att skydda oss.