Hackers κατάφεραν να πάρουν τον έλεγχο του λογαριασμού του CEO του Twitter, Jack Dorsey, για περίπου 15 λεπτά την Παρασκευή το απόγευμα.
Φυσικά, αμέσως μετά άρχισαν να πανηγυρίζουν με tweets που δεν ήταν και τόσο καλαίσθητα. Πριν καταφέρουν οι τεχνικοί να πάρουν πίσω τον λογαριασμό και να διαγράψουν τα tweets, οι hackers ανακοίνωσαν το όνομά τους: Chuckling Squad. Είναι μια ομάδα που κατάφερε να παραβιάσει πρόσφατα ερκετούς λογαριασμούς αστέρων του YouTube.
Η σύντομη παραβίαση του λογαριασμού ενός ατόμου υψηλού προφίλ, μπορεί να μοιάζει κάτι απλό, ή τουλάχιστον πιο απλό από ένα περίπλοκο hack για την διείσδυση στα συστήματα μιας επιχείρησης.
Ωστόσο το συγκεκριμένο προφίλ, ήταν ο CEO μιας μεγάλης εταιρείας social media, και παραβιάστηκε στην δική του πλατφόρμα.
Μετά το hack της Παρασκευής, μπορούμε να σταθούμε σε τρία σημεία που μάλλον πολλοί από εμάς έχουν ξεχάσει.
Ελέγξτε τώρα τα δικαιώματα των εφαρμογών σας στο Twitter.
Οι λεπτομέρειες του hack της Παρασκευής δεν έχουν αποκαλυφθεί, αλλά τα tweets από το λογαριασμό του Dorsey φαίνεται να έχουν αναρτηθεί χρησιμοποιώντας μια υπηρεσία που ονομάζεται Cloudhopper.
Το Twitter απέκτησε μια startup που ονομάζεται Cloudhopper το 2010, Η εφαρμογή επιτρέπει στους χρήστες να δημοσιεύουν tweets από το τηλέφωνό τους μέσω SMS ή μηνυμάτων κειμένου χωρίς να συνδεθούν στο Twitter. Αν ο Jack Dorsey είχε ενεργοποιήσει το Cloudhopper, αυτό μπορεί να επέτρεψε στους hackers να κάνουν αναρτήσεις από το λογαριασμό του χωρίς να χρειάζεται να κλέψουν τον κωδικό του στο Twitter. Υπήρχαν επίσης ενδείξεις ότι απέκτησαν πρόσβαση στον αριθμό του κινητού τηλεφώνου του, μέσω μιας τεχνικής που ονομάζεται SIM-swapping, αντί του λογαριασμού του στο Twitter.
Το Cloudhopper δεν είναι κάποια τυχαία, κακόβουλη εφαρμογή τρίτων. Ήταν πολύ καιρό ενσωματωμένη στο ίδιο το Twitter. Βέβια κανείς δεν γνωρίζει αν ο Dorsey θα μπορούσε να είχε αποτρέψει την επίθεση απενεργοποιώντας την.
Παρόλα αυτά, είναι μια καλή υπενθύμιση ότι ο λογαριασμός σας μπορεί να παραβιαστεί μέσω διάφορων εφαρμογών και υπηρεσιών στις οποίες έχετε δώσει πρόσβαση και με την πάροδο του χρόνου τις έχετε ξεχάσει εντελώς, όπως είχε ξεχάσει ίσως και ο Dorsey το Cloudhopper.
Ο έλεγχος των αδειών χρήσης του Twitter σας θα πρέπει να είναι συχνός και αν δεν τον έχετε κάνει καλό θα ήταν να το κάνετε άμεσα. Αν δείτε εφαρμογές που δεν αναγνωρίζετε ή δεν εμπιστεύεστε, θα πρέπει να ανακαλέσετε την πρόσβασή τους από το λογαριασμό σας.
https://twitter.com/settings/applications
Ας δούμε και το Sim swapping
Ειδικοί ασφαλείας προειδοποιούν εδώ και καιρό για μια τεχνική αντικατάστασης της SIM. Ουσιαστικά κάποιος πείθει την εταιρεία παροχής κινητής τηλεφωνίας να σας αλλάξει κάρτα SIM. Πως; Μπορούν να προσποιηθούν ότι είστε εσείς, ή μπορεί να πληρώσουν κάποιο υπάλληλο, ή να συνεργάζονται με κάποιον μέσα στην εταιρεία. Δεν θα το ψάξουμε, αλλά έχει συμβεί και θα συνεχίσει να συμβαίνει.
Μόλις πάρουν την πρόσβαση στην κάρτα, έχουν ουσιαστικά το τηλέφωνό σας: όχι το hardware αλλά την ίδια την τηλεφωνική σας γραμμή. Αυτό φυσικά είναι τεράστιο πρόβλημα επειδή η προεπιλεγμένη μέθοδος προστασίας διαφόρων λογαριασμών στο διαδίκτυο είναι η επαλήθευση δύο παραγόντων, η οποία χρησιμοποιεί συχνά την τηλεφωνική σας γραμμή. Έτσι, εάν μια εφαρμογή όπως το Facebook ή το Twitter ζητήσει ένα κωδικό επιβεβαίωσης για να σας επιτρέψει την πρόσβαση, ο κωδικός θα σταλεί στο τηλέφωνο του ατόμου που έκλεψε τον αριθμό σας.
Σε αυτή την περίπτωση, φαίνεται ότι οι hackers χρειάστηκαν τον τηλεφωνικό αριθμό, για το Cloudhopper. Ερευνητές ασφαλείας αναφέρουν ότι ο λογαριασμός του Dorsey μάλλον πραγματοποιήθηκε με αλλαγή της SIM, καθώς αυτό είναι ο τρόπος που συνηθίζει να χρησιμοποιεί η ομάδα Chuckling Squad.
Δυστυχώς, δεν μπορείτε να κάνετε τίποτα για να προστατευθείτε πλήρως από κάποια επίθεση Sim-swapping. Ένα μέτρο που μπορεί να σας βοηθήσει είναι να χρησιμοποιήσετε εφαρμογές ελέγχου ταυτότητας, όπως το Google Authenticator, αντί για τον αριθμό τηλεφώνου σας, για τον έλεγχο ταυτότητας δύο παραγόντων που χρησιμοποιείτε, στις υπηρεσίες που το επιτρέπουν φυσικά.
Θα μπορούσε να ήταν χειρότερα
Ένα hack στον λογαριασμό ενός CEO δεν είναι ότι καλύτερο, για την φήμη της εταιρείας. Φανταστείτε όμως τι θα μπορούσε να συμβεί αν παραβιαζόταν ο λογαριασμός του Προέδρου Trump.
Κάποιος ικανός hacker που θα μπορούσε να αποκτήσει πρόσβαση σε ένα λογαριασμό όπως του Trump, θα μπορούσε θεωρητικά να προκαλέσει σημαντικές ζημιές.
Φανταστείτε ότι θα μπορούσε να δημοσιεύσει tweets που ταρακουνούν τις αγορές ή μετακινούν στρατιωτικές δυνάμεις. Ο Jack Dorsey αναφέρει εδώ και χρόνια ότι η ασφάλεια του Twitter είναι πιο σημαντική προτεραιότητα. Μετά από αυτό θα πρέπει να αναθεωρήσει τις πρακτικές προστασίας των χρηστών του. Έτσι για να μην δούμε χειρότερα.
