facebook adres e-mail telefon

Szef Twitter zhackowany, przez kilkadziesiąt minut publikował wulgarne treści na swoim koncie

Pod koniec sierpnia konto @jack na Twitter należące do jednego z założycieli tego serwisu zaczęło publikować wulgarne treści. Jego właściciel miał, zgodnie z najlepszymi praktykami, włączone “dwukrokowe uwierzytelnienie” (tzw. 2FA). Jak więc włamywacze przejęli kontrolę nad kontem milionera?

Szef Twitter zhackowany, przez kilkadziesiąt minut publikował wulgarne treści na swoim koncie

Stara integracja Twittera

Jak można było zauważyć w opisie twitnięć, dodano je przez Cloudhoppera, czyli aplikację, którą Twitter kupił kilka lat temu:

Szef Twitter zhackowany, przez kilkadziesiąt minut publikował wulgarne treści na swoim koncie

Jack musiał się więc z nią “zintegrować”, co oznacza, że aplikacja ta miała dostęp do konta Jacka przez API, była “zaufana” i nie musiała się uwierzytelniać za pomocą 2FA. I teraz do sedna: aplikacja ta pozwalała na wprowadzanie twitów przez SMS. A więc każdy kto z numeru telefonu Jacka wysłał na numer aplikacji “40404” jakąś treść, ta pojawiała się na jego koncie.

Jak przejęto numer telefonu Jacka?

Biuro prasowe Twittera napisało, że było to “przeoczenie operatora telefonii komórkowej“.

Szef Twitter zhackowany, przez kilkadziesiąt minut publikował wulgarne treści na swoim koncie

The phone number associated with the account was compromised due to a security oversight by the mobile provider. This allowed an unauthorized person to compose and send tweets via text message from the phone number. That issue is now resolved.

Można to rozumieć na 2 sposoby;

  1. albo Jacek stał się ofiarą ataku SIM-swap, czyli ktoś wyrobił “duplikat karty SIM”, oszukując operatora, że jest *tym* milionerem,
  2. albo po prostu ktoś użył techniki SMS spoofingu, czyli wysłania SMS-a przez bramkę pozwalającą na dowolne ustawienie numeru nadawcy. Wcale nie trzeba atakować operatorskiego protokołu SS7.

O obu atakach pisaliśmy w przeszłości, bo regularnie dotyczą Polaków. Za pomocą nielegalnie wyrabianych duplikatów kart SIM w Polsce stale okradani są klienci bankowości internetowej. Drugi z ataków, SMS spoofing też jest na codzień obecny w naszym życiu — jako przekręt z “dopłatą do przesyłki” albo w wariancie “ureguluj dług“.

Mam Twittera — co robić, jak żyć?

Aby być superbezpiecznym na Twitterze, do wykonania masz trzy kroki:

  1. Przejrzyj spięte z Twoim kontem zewnętrzne aplikacje. Jeśli jest wśród nich jakaś staroć, coś czego nie poznajesz lub coś z czego od dawna nie korzystasz — zabierz takiej aplikacji dostęp. To zabezpieczy Cię przed sytuacją w której ktoś przejmuje serwery aplikacji zintegrowanej z Twitterem z której korzystasz. Takie ataki miały już miejsce w przeszłości (Buffer).Szef Twitter zhackowany, przez kilkadziesiąt minut publikował wulgarne treści na swoim koncie
  2. Włącz dwuetapowe uwierzytelnienie. Będziesz to jednak musiał zrobić umiejętnie. Aby włączyć 2FA na Twitterze, trzeba podać swój numer telefonu (a wiec narazić się na wariant ataku z duplikatem karty SIM), ale… jak tylko numer podasz, to w opcjach dwuetapowego uwierzytelnienia możesz odznaczyć “Text message” — i powinieneś to zrobić. Wtedy Twitter nie będzie Ci wysyłał żadnych SMS-ów, a więc nikt ich nie przejmie.

Szef Twitter zhackowany, przez kilkadziesiąt minut publikował wulgarne treści na swoim koncie

Wcześniej jednak — co zrozumiałe — będziesz musiał dodać “Mobile authentication app”, np. Google Authenticator. Bez włączonej dodatkowej niż SMS opcji 2FA nie da się odznaczyć wysyłania kodu SMS-em (no bo jakoś Twitter musi Ci jednak drugi składnik przekazać). Możesz też (i zachęcamy do tego) dodać jako drugi składnik swój klucz U2F. Ale niestety, w Twitterze nie da się dodać kilku kluczy i zapewne z tego powodu nawet z dodanym kluczem U2F nie da się odznaczyć “Mobile authentication app”, czyli drugiego składnika, który — w przeciwieństwie do kluczy U2F — jest podatny na phishing. Po skonfigurowaniu klucza U2F podczas logowania po podaniu hasła w pierwszej kolejności będziesz pytany o klucz, a jeśli nie masz go przy sobie, będziesz mógł zalogować się kodem z “Mobile Authentication app” (czyli np. Google Authenticatora) lub kodem backupowym.

       3. Włącz opcję “password reset protection”

Szef Twitter zhackowany, przez kilkadziesiąt minut publikował wulgarne treści na swoim koncie

Dzięki temu osoby, chcące “zresetować” Twoje hasło do Twittera po przejęciu Twojej karty SIM, nie będą mogły tego zrobić. Nie dostaną SMS-a z kodem, dopóki nie podadzą Twojego e-maila.

Szef Twitter zhackowany, przez kilkadziesiąt minut publikował wulgarne treści na swoim koncie

Informacja

Tu samo przez się rozumie się, że e-maila powinieneś zmienić na “nieprzewidywalnego”. Jeśli masz GMaila, zmiany możesz dokonać bezboleśnie, bez potrzeby zakładania kolejnej “tajnej” skrzynki. Wystarczy, że w ustawieniach Twittera zmienisz e-maila na taki:

jan.kowalski+tajneslowo@gmail.com

Dodanie do Twojego loginu GMailowego (w naszym przykładzie: jan.kowalski) ciągu “+tajneslowo“, powoduje, że e-maile dalej będą tafiać na Twojego GMaila, ale “zagdujący hasło” nie domyśli się, czym jest to “tajneslowo“, wiec nie będzie w stanie poprawnie podać Twojego e-maila.

Źródło: niebezpiecznik.pl

Firma CSK dokłada należytych starań w kwestiach bezpieczeństwa rozwiązań informatycznych, które dostarcza swoim klientom. Należy jednak pamiętać, że żadne zabezpieczenie nie daje 100% gwarancji bezpieczeństwa. W przypadku pytać zapraszamy do kontaktu.

Poprzedni artykuł: Nazwa.pl wprowadza zabezpieczenia: SPF, DKIM i DMARC

Masz pytania? Napisz do nas!

Wyślij wiadomość