Twitter rivela che i propri strumenti per i dipendenti hanno contribuito a un hack senza precedenti
Twitter ha fatto luce sull'attacco senza precedenti di mercoledì che ha portato a numerose acquisizioni di account di alto profilo tra cui quelli del presidente Barack Obama, del candidato democratico Joe Biden e del CEO di Tesla Elon Musk. In un serie di tweet pubblicato questa sera sotto il suo canale di supporto, Twitter ha dichiarato che i suoi sistemi interni sono stati compromessi dagli hacker, confermando le teorie secondo cui l'attacco non avrebbe potuto essere condotto senza l'accesso agli strumenti e ai privilegi dei dipendenti dell'azienda.
"Abbiamo rilevato quello che crediamo essere un attacco coordinato di ingegneria sociale da parte di persone che hanno preso di mira alcuni dei nostri dipendenti con accesso a sistemi e strumenti interni", si legge nel primo tweet in un thread di spiegazione multi-tweet. "Sappiamo che hanno utilizzato questo accesso per assumere il controllo di molti account altamente visibili (inclusi quelli verificati) e Tweet per loro conto".
Sembra che Twitter stia riconoscendo qui che numerose persone sembrano essere state coinvolte negli hack, non solo un individuo, e anche che numerosi dipendenti sono stati compromessi.
Abbiamo rilevato quello che riteniamo essere un attacco coordinato di ingegneria sociale da parte di persone che hanno preso di mira alcuni dei nostri dipendenti con accesso a sistemi e strumenti interni.
– Supporto Twitter (@TwitterSupport) 16 luglio 2020
Twitter non elabora su quali strumenti hanno avuto accesso gli aggressori o su come esattamente l'attacco è stato effettuato, ma motherboard riportato prima oggi che vari circoli di hacking sotterranei hanno condiviso schermate di uno strumento di amministrazione aziendale interno presumibilmente utilizzato per condurre l'acquisizione di account, potenzialmente ripristinando gli account di posta elettronica degli account e quindi recuperando le password.
In un aggiornamento delle sue indagini sull'hack, motherboard ora dice di aver parlato con gli hacker che affermano di aver pagato un dipendente di Twitter per cambiare gli indirizzi email degli account popolari usando lo strumento interno in modo da poterli prendere il controllo.
abbiamo parlato con due hacker e siamo stati in grado di verificare in modo indipendente che oggi avevano il controllo degli account sequestrati. Uno di loro ha affermato di aver pagato l'impiegato di Twitter per aiutarli a rilevare gli account; non sono sicuro dei dettagli qui al momento
– Jason Koebler (@jason_koebler) 16 luglio 2020
motherboard ha anche condiviso alcuni degli screenshot dello strumento interno presumibilmente al centro degli hack, incluso uno qui in cui motherboard informazioni sensibili sull'account redatte. Secondo quanto riferito, Twitter sospende gli account che condividono gli screenshot e li rimuove manualmente per violazione delle sue regole.
:format(webp):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/20086644/Annotation_2020_07_15_202908.png)
Non è chiaro se questo è sicuramente il modo in cui è stato effettuato l'attacco; Twitter non lo dirà per ora. Ma l'acquisizione quasi simultanea di un numero di account Twitter altamente sensibili – compresi quelli dei candidati presidenziali e quelli con autenticazione a due fattori abilitata – suggerisce che gli aggressori non hanno semplicemente sfruttato i singoli proprietari di account e avevano almeno un accesso indiretto agli strumenti dei dipendenti.
Ciò è stato dirompente, ma è stato un passo importante per ridurre il rischio. La maggior parte delle funzionalità è stata ripristinata, ma potremmo intraprendere ulteriori azioni e, in caso contrario, ti aggiorneremo.
– Supporto Twitter (@TwitterSupport) 16 luglio 2020
La società afferma che sta attualmente indagando su "quali altre attività dannose potrebbero aver condotto o informazioni a cui potrebbero aver avuto accesso e condivideranno di più qui come le abbiamo". È teoricamente possibile che gli aggressori abbiano avuto accesso a messaggi diretti privati, ad esempio. I responsabili dell'attacco sembravano utilizzare le acquisizioni di account come un modo per promuovere una truffa bitcoin, uno che ha portato le persone a inviare quasi $ 120.000 di criptovaluta all'indirizzo del portafoglio digitale elencato in quasi tutti i tweet, mostrano i record blockchain.
Ma come allude a Twitter, potrebbero benissimo esserci ulteriori motivi in gioco oltre a una semplice truffa di criptovaluta, e gli account politici e aziendali potrebbero aver ricevuto informazioni sensibili da quei messaggi privati e altre informazioni sull'account. Probabilmente Twitter dovrà ora affrontare serie domande sulle sue precauzioni di sicurezza interne e sulle protezioni che ha messo in atto per impedire che ciò accada di nuovo o con conseguenze molto più catastrofiche in futuro. È possibile che Twitter si troverà di fronte a richieste e indagini del governo.
Twitter afferma che, una volta venuto a conoscenza della situazione in atto, "ha immediatamente bloccato gli account interessati e rimosso i tweet pubblicati dagli aggressori". Ha anche preso la fase senza precedenti di disabilitare la possibilità per gli account verificati di inviare nuovi tweet.
"Questo è stato dirompente, ma è stato un passo importante per ridurre il rischio. La maggior parte delle funzionalità è stata ripristinata, ma potremmo intraprendere ulteriori azioni e, se lo facciamo, ti aggiorneremo ", si legge nell'aggiornamento. "Abbiamo account bloccati che sono stati compromessi e ripristineremo l'accesso al proprietario dell'account originale solo quando siamo certi di poterlo fare in modo sicuro." Twitter afferma inoltre che sono state prese misure interne per "limitare l'accesso ai sistemi e agli strumenti interni mentre la nostra indagine è in corso".
