Білла Гейтса та Ілона Маска не зламали, а Twitter це зробили
Остання ніч була довгою для Twitter. Білл Гейтс, Ілон Маск, президент Барак Обама, Apple, Uber та інші почали твітувати про пропозиції подвоїти гроші людей, якщо вони надсилатимуть біткойни на певний гаманець. Все це не було правдою, звичайно, це була афера. І тепер Twitter визнає, що його внутрішні інструменти зробили гігантський злом можливим.
Можливо, ви не знаєте, але Twitter має величезний контроль над усіма обліковими записами в службі. Дещо з цього необхідно. Якщо ваш обліковий запис зламано, і хакер змінить пов’язану електронну адресу та пароль, Twitter може використовувати свої інструменти, щоб виправити ситуацію.
І саме ці інструменти призвели до падіння сервісу. За даними соцмережі, хакери атакують співробітників Twitter за допомогою певної форми соціальної інженерії. Після того, як хакери отримали доступ до облікових записів співробітників, вони використали внутрішні інструменти Twitter, щоб виконати інше.
Внутрішні інструменти Twitter дозволили хакерам заволодіти гучними акаунтами та розмістити повідомлення про біткойн. У Twitter не було ясно, що роблять інструменти, але деякі з постраждалих облікових записів підтвердили, що вони раніше вмикали двофакторну аутентифікацію (2FA).
Найімовірніший сценарій полягає в тому, що інструменти дозволили хакерам змінити адреси електронної пошти, паролі і навіть вимкнути 2FA. Це типи інструментів, які Twitter може використовувати, щоб допомогти вам відновити ваш обліковий запис, якщо він зламаний.
Як тільки Twitter зрозумів, що відбувається, він заблокував уражені облікові записи, а потім зробив ще один крок — він вимкнув можливість твіти для всіх підтверджених облікових записів. Близько двох годин твіти могли писати лише неперевірені облікові записи.
Весь ланцюжок подій розкрив багато про можливості Twitter. Між повним доступом до облікових записів користувачів і можливістю вимкнути певний клас користувачів (у даному випадку перевірених користувачів), Twitter, здається, майже повністю контролює те, що і хто може говорити що-небудь у службі.
Але події минулої ночі також виявили небезпеку в цих інструментах; Twitter потрібно буде внести зміни, щоб запобігти повторному злому. Цього разу хакери використали цю схему для крадіжки біткойнів (за деякими даними, близько 110 000 доларів). Наступного разу може бути гірше.
Джерело: Twitter