Mga Reaksyon sa Paglabag sa Twitter: Nag-aalok ang Mga Propesyonal ng Seguridad ng Maagang Pagsusuri

Na-pwned na si @jack.

Nag-alab ang lahat ng Twitter noong Miyerkules ng hapon nang magsimulang mag-tweet ang mga pangunahing Crypto account na nakipagsosyo sila sa isang huwad na site na tinatawag na "Crypto For Health" sa isang giveaway na 5,000 BTC.

Ito ay isang scam, ngunit ONE na nagawang maabot ang pinakamalaking account sa Twitter, kabilang ang kay dating Pangulong Barack Obama, ang pinaka-sinusundan na account sa mundo.

Read More: Lahat ng Alam Namin Tungkol sa Bitcoin Scam na Kumakatok sa Mga Pinakatanyag na Account ng Twitter

Ang mga security pro na nakipag-ugnayan sa pamamagitan ng CoinDesk ay may malawak na hanay ng mga opinyon sa paglabag, ngunit lahat sila ay sumang-ayon na ang kasalanan ay hindi nakasalalay sa bawat may-ari ng na-hack na account. Sinabi nila na ang paglabag ay malamang mula sa alinman sa mga third-party na app na naka-plug sa mga Twitter account ng mga tao o mula sa loob ng social media mismong higante.

"Kung anuman ang magiging ugat nito, ang halaga ng kabuuang pwnage na ito ay magsasabi sa akin na ito ay isang bagay na nobela at malawakang mapagsamantalahan, hindi isang bagay na kilala at tinatarget," Erik Cabetas, managing partner sa Isama ang Seguridad, sinabi sa CoinDesk sa isang email.

Tumawag sina Cabetas at Frans Rosén, isa pang security professional mula sa isang firm sa Europe Tuklasin, itinuro ang CoinDesk sa ang tweet na ito, na nagdetalye ng mga sumusunod:

(Ang OTP ay nangangahulugang "isang beses na password," isang paraan ng seguridad na karaniwang ginagamit bilang bahagi ng 2FA, o "two-factor identification.") Ang account @6 ay para kay Adrian Lamo, isang mamamahayag na may 163,000 na tagasunod, na ngayon ay naglagay ng kanyang account sa pribado.

Jessy Irwin, isang propesyonal sa seguridad na dating AgileBits (Maker ng 1Password) at Cosmos Maker ng Tendermint, ay nagsabing maraming paraan para ma-hack ang malalaking account.

"Mayroong walang katapusang pagsasama ng OAuth, ang mga API na nagbibigay-daan sa mga serbisyo ng third-party na ma-access ang platform, at ilan sa mga feature ng SMS," isinulat niya. "Gumawa ang [Twitter] ng ilang trabaho upang mapabuti ang pahintulot at pagpapatunay, ngunit kung ikaw ay isang super-user o mayroon kang isang team na nagpo-post Para sa ‘Yo, napakahirap pa ring i-secure ang serbisyo."

Si Parham Eftekhari, ng Cybersecurity Collaborative, isang forum para sa mga propesyonal sa seguridad, ay nagbabala na ang lahat ng mga propesyonal sa seguridad ay maaaring mag-isip-isip. Ang laki ng pag-atake at pagkabigo ng Twitter tugon ipinahiwatig na ang problema ay maaaring ONE:

Sa loob ng birdhouse

Maraming mga account na katabi ng seguridad ang nagbabahagi ng mga alingawngaw na ang paglabag ay talagang mula sa loob ng Twitter, na magmumungkahi na ang lahat ng uri ng data ay maaaring makompromiso.

Si Richard Ma, tagapagtatag ng smart-contract auditing firm Quantstamp, ay nagsabi sa CoinDesk na naniniwala ang kanyang koponan na ang problema ay nasa San Francisco HQ ng Twitter.

"Batay sa kung ano ang aming natipon sa ngayon, ito ay isang panloob na paglabag sa seguridad ng Twitter. Nagawa ng hacker na labagin ang Twitter at makakuha ng access sa panloob na pag-andar ng admin," sinabi niya sa CoinDesk.

Idinagdag ni Irwin:

"Ito ay isang 'uto' na pag-hack, ngunit mahalaga din na tingnan kung bakit ang mga tao ay naudyukan na mag-hack ng mga bagay-bagay. Ang ilang mga hacker ay gustong panoorin ang mundo na nasusunog - ganoon talaga ito. Ito ay maaaring isang kampanya upang gawing tanga o hindi handa ang Twitter para sa papel na mayroon ito sa pampublikong diskurso."

Sumang-ayon si Eftekhari, at binanggit na mahalagang tandaan na tayo ay nasa isang taon ng halalan sa pagkapangulo ng U.S., at ang Twitter ay isang de facto na institusyon ng komunikasyon para sa Estados Unidos, na maaaring maging isang nakakaakit na target sa mga kalabang bansang estado.

Pagkatapos ng lahat, sinabi niya, ang pagbabayad ($106,200 sa ngayon) ay maliit.

Read More: Obama, Biden, Netanyahu, Musk: Narito ang Listahan ng Bawat Na-hack na Twitter Account

Sinabi ni Irwin na ang mga kasama sa komunidad ng seguridad ay napansin na ang mga domain na ginagamit ng mga cybercriminal ay aktibo mula noong Abril. "Iyon ay nagmumungkahi na ito ay isang kilalang isyu o isang mas lumang kahinaan na hindi ipinakilala kamakailan," sabi niya.

Si Yonathan Klijnsma, isang threat researcher sa cybersecurity company na RiskIQ, ay nagsabi na habang T siya makatiyak, may haka-haka na isang account ng miyembro ng suporta sa Twitter ang na-hijack.

"Bagama't hindi namin alam kung ito ang dahilan, maaaring ipaliwanag kung paano nila na-hijack ang napakaraming account," sinabi ni Klijnsma sa CoinDesk sa isang email. "Ang suporta sa Twitter ay nakakatulong sa mga user na na-lock out sa kanilang account sa pamamagitan ng (normal) na pag-verify ng impormasyon at pagkatapos ay pagtulong sa kanila na bumalik sa kanilang account. Ang pagkakaroon ng access sa account ng isang miyembro ng suporta ay maaaring humantong sa napakalaking at tila walang hirap na pag-hijack na naobserbahan namin ngayon."

Aniya, ang laki ng nangyayaring scam sa pamamagitan ng mga Twitter account na ito na may napakalaking follows ay tila ang buong kuwento.

"Ngunit nasusubaybayan ng RiskIQ ang higit pa sa imprastraktura ng mga masasamang tao na ginagamit sa kanilang mga operasyon ng scam," sabi ni Klijnsma. "Namin natukoy ang humigit-kumulang 400 mga domain hanggang ngayon lahat ay nakatali sa mga panloloko na ito."

Pinagmulan ng scam

Binigyang-diin ni Rosén sa CoinDesk na maaari lamang siyang mag-isip-isip, ngunit binanggit na ang pinagmulan ng mga tweet ay "Twitter Web App" at sinabi ng Suporta sa Twitter na maaaring asahan ng mga tao ang problema sa mga pag-reset.

Iminungkahi nito kay Rosén na ang "serbisyo na ginamit upang magpadala ng mga pag-reset ng password ay nilabag kahit papaano," at na "ilang partikular FLOW kapag ni-reset ang password ay naging posible upang makakuha ng access sa web app."

Na, binalaan niya, ay maaaring nangangahulugan na ang umaatake ay maaaring gumawa ng higit pa sa tweet, tulad ng pag-access sa mga direktang mensahe (DM). Dan Guido, ng Trail ng Bits, isang security firm na malawak na umaasa sa Crypto, itinuro ang CoinDesk sa isang thread isinulat niya ang insidente sa ONE sa mga pangalawang account ng kanyang kumpanya. Dito, sinabi niya:

"Ang Twitter ay hindi kailanman naging mahusay sa pag-secure ng kanilang sariling data. Matapos ma-hack ang kanilang backend noong 2009 (katulad ngayon!), pinagbawalan ng FTC ang Twitter na gumawa ng mga claim tungkol sa kanilang seguridad sa loob ng 20 taon."

Sinabi ni Quantstamp's Ma na ang kaganapang ito ay maaaring patibayin ang isang pangunahing paniniwala ng Crypto faithful.

"Sa pangkalahatan, sa palagay ko ay pinalalakas nito ang kagustuhan ng maraming tao para sa sariling pag-iingat ng data sa komunidad ng Crypto ," sabi ni Ma. "Maraming gumagamit ng Twitter ang hindi alam ang buong kontrol na ibinibigay nila kapag gumagamit ng isang third-party na platform na may mga espesyal na pribilehiyo sa kanilang mga account."