NYT: взломавший Twitter-аккаунты Маска и других получил доступ к внутренним инструментам через чат компании в Slack

Всё началось с угона коротких имён аккаунтов в Twitter ради перепродажи.

The New York Times опубликовало расследование, связанное с массовым взломом верифицированных аккаунтов в Twitter. 15 июля 2020 года неизвестные разместили от имени Илона Маска, Билла Гейтса, Джеффа Безоса и других известных людей сообщения о раздаче биткоинов тем, кто пришлёт их на один и тот же кошелёк.

Так выглядели сообщения, опубликованные от имени аккаунтов знаменитостей. Перечисленные на счёт кошелька биткоины взломщики выводили на другие кошельки.
Так выглядели сообщения, опубликованные от имени аккаунтов знаменитостей. Перечисленные на счёт кошелька биткоины взломщики выводили на другие кошельки.

Журналисты NYT рассказали, что им удалось поговорить с причастными к взлому хакерами. По их словам, атака на Twitter началась с разговора нескольких хакеров в Discord.

Все они интересовались короткими адресами в Twitter, которые состоят из одной буквы или цифры — например, @у или @6. Такими адресами обычно владеют первые пользователи сервиса или приложения. Некоторые взломщики зарабатывают на этом: взламывают аккаунты владельцев таких адресов и перепродают их за тысячи долларов.

По данным NYT, с двумя хакерами с никнеймами «lol» и «ever so anxious» связался пользователь по имени Kirk. Человеку под ником «lol» чуть больше 20 лет, а «ever so anxious» живёт на юге Англии со своей матерью, ему 19 лет, выяснили журналисты.

Личность Kirk неизвестна, но в разговоре с «lol» и «ever so anxious» он заявил, что работает в Twitter. Он не был известен в хакерских кругах, считает NYT — его аккаунт на Discord был создан 7 июля.

Kirk связался с «lol» и «ever so anxious» поздно вечером 14 июля (в ночь атаки) и предложил стать партнёрами в продаже аккаунтов с короткими именами в Twitter. Они получали часть суммы от каждой сделки.

Разговор между Kirk и «ever so anxious» о взломе и продаже аккаунтов с короткими именами
Разговор между Kirk и «ever so anxious» о взломе и продаже аккаунтов с короткими именами

Одной из первых сделок «lol» стала продажа аккаунта @y за $1500 в биткоинах. Деньги получил тот же кошелёк, на который позже приходили переводы от пользователей, которые поверили взломанным аккаунтам знаменитостей.

Партнёры разместили объявление на сайте OGusers.com, где предлагали короткие адреса в Twitter в обмен на биткоины. Один из них «ever so anxious» забрал себе — это был адрес @anxious, который он давно хотел.

Ближе к утру покупателей становилось всё больше, а цены на услуги Kirk росли, пишет NYT. Он мог быстро получить доступ почти к любому аккаунту, и даже прислал скриншот внутренних инструментов Twitter в качестве доказательства взлома одного из аккаунтов. Хакеры успели взломать и продать аккаунты @dark, @w, @l, @ 50 и @vague и другие.

Скриншот от Kirk, который взломал аккаунт с адресом R9 при помощи внутренних инструментов сервиса
Скриншот от Kirk, который взломал аккаунт с адресом R9 при помощи внутренних инструментов сервиса

Одним из клиентов взломщиков был другой известный хакер PlugWalkJoe, он же Джозеф О'Коннор, пишет NYT. По его словам, он купил адрес @6, но не имел отношения к взлому.

Джозеф О'Коннор со ссылкой на других хакеров рассказал, что Kirk попал в канал в Slack сотрудников Twitter. Информация из него помогла ему получить доступ к серверам компании. Неназванные источники издания, которые занимаются расследованием взлома, согласны с этой теорией. Представитель Twitter не прокомментировал эти данные для NYT.

Партнёры не ограничились взломом коротких адресов малоизвестных пользователей. Kirk смог получить доступ к аккаунту Coinbase и рассказал об этом «lol». Вскоре после этого «ever so anxious» ушёл спать — и узнал о взломах аккаунтов Джеффа Безоса, Канье Уэста и других только когда проснулся.

«Я не расстроен, но это немного раздражает: он получил всего 20 биткоинов», — написал «ever so anxious» своему собеседнику «lol». Kirk удалось заработать около $180 тысяч, поясняет NYT. После массовых взломов он перестал отвечать своим собеседникам и пропал.

18 июля в Twitter заявили, что взломщики планировали получить доступ к 130 аккаунтам. Им удалось взломать 45 из них: сбросить пароли, войти в учётные записи и отправить твиты от их имени.

Взломщики, возможно, собирались продать адреса некоторых аккаунтов, говорят в Twitter. В компании также считают, что они использовали методы социальной инженерии, атаковав некоторых сотрудников Twitter с доступом к внутренним системам и инструментам.

4040
48 комментариев

"Они могли обвалить рынки, устроить государственный переворот, начать третью мировую, но они хотели просто подсобрать битков"

51
Ответить

лучше биткоин в кармане, чем журавль в небе

21
Ответить

Везде пишут подобные комментарии. Но если рынками ещё более-менее понятно, то как можно организовать переворот и войну через взломанный Твиттер?

4
Ответить

Комментарий недоступен

3
Ответить

Возможно, они просто не хотели умереть особо экзотической смертью.

3
Ответить

"The interviews indicate that the attack was not the work of a single country like Russia..."

20:30 NotIVAN: Нам удолось Вальера.
20:30 vodkalover: Глупые амьерикантцы. Ха-ха
20:31 NotIVAN: Завтра от имени Трампа я обявлю выходной, все амьериканцы уйдут из Амьерики и пока там никого не будьет, мы ее захватим.
20:32 vodkalover: За это КГБ осводит тваего ребьенка из ГУЛАГа.
20:32 NotIVAN: Поиду пить водку.

Куда можно логи отправить? Кто адрес NYT знает?

33
Ответить

Голосом торговой федерации осадившей Набу

2
Ответить