NYT: взломавший Twitter-аккаунты Маска и других получил доступ к внутренним инструментам через чат компании в Slack

Всё началось с угона коротких имён аккаунтов в Twitter ради перепродажи.

The New York Times опубликовало расследование, связанное с массовым взломом верифицированных аккаунтов в Twitter. 15 июля 2020 года неизвестные разместили от имени Илона Маска, Билла Гейтса, Джеффа Безоса и других известных людей сообщения о раздаче биткоинов тем, кто пришлёт их на один и тот же кошелёк.

Журналисты NYT рассказали, что им удалось поговорить с причастными к взлому хакерами. По их словам, атака на Twitter началась с разговора нескольких хакеров в Discord.

Все они интересовались короткими адресами в Twitter, которые состоят из одной буквы или цифры — например, @у или @6. Такими адресами обычно владеют первые пользователи сервиса или приложения. Некоторые взломщики зарабатывают на этом: взламывают аккаунты владельцев таких адресов и перепродают их за тысячи долларов.

По данным NYT, с двумя хакерами с никнеймами «lol» и «ever so anxious» связался пользователь по имени Kirk. Человеку под ником «lol» чуть больше 20 лет, а «ever so anxious» живёт на юге Англии со своей матерью, ему 19 лет, выяснили журналисты.

Личность Kirk неизвестна, но в разговоре с «lol» и «ever so anxious» он заявил, что работает в Twitter. Он не был известен в хакерских кругах, считает NYT — его аккаунт на Discord был создан 7 июля.

Kirk связался с «lol» и «ever so anxious» поздно вечером 14 июля (в ночь атаки) и предложил стать партнёрами в продаже аккаунтов с короткими именами в Twitter. Они получали часть суммы от каждой сделки.

Одной из первых сделок «lol» стала продажа аккаунта @y за $1500 в биткоинах. Деньги получил тот же кошелёк, на который позже приходили переводы от пользователей, которые поверили взломанным аккаунтам знаменитостей.

Партнёры разместили объявление на сайте OGusers.com, где предлагали короткие адреса в Twitter в обмен на биткоины. Один из них «ever so anxious» забрал себе — это был адрес @anxious, который он давно хотел.

Ближе к утру покупателей становилось всё больше, а цены на услуги Kirk росли, пишет NYT. Он мог быстро получить доступ почти к любому аккаунту, и даже прислал скриншот внутренних инструментов Twitter в качестве доказательства взлома одного из аккаунтов. Хакеры успели взломать и продать аккаунты @dark, @w, @l, @ 50 и @vague и другие.

Одним из клиентов взломщиков был другой известный хакер PlugWalkJoe, он же Джозеф О'Коннор, пишет NYT. По его словам, он купил адрес @6, но не имел отношения к взлому.

Джозеф О'Коннор со ссылкой на других хакеров рассказал, что Kirk попал в канал в Slack сотрудников Twitter. Информация из него помогла ему получить доступ к серверам компании. Неназванные источники издания, которые занимаются расследованием взлома, согласны с этой теорией. Представитель Twitter не прокомментировал эти данные для NYT.

Партнёры не ограничились взломом коротких адресов малоизвестных пользователей. Kirk смог получить доступ к аккаунту Coinbase и рассказал об этом «lol». Вскоре после этого «ever so anxious» ушёл спать — и узнал о взломах аккаунтов Джеффа Безоса, Канье Уэста и других только когда проснулся.

«Я не расстроен, но это немного раздражает: он получил всего 20 биткоинов», — написал «ever so anxious» своему собеседнику «lol». Kirk удалось заработать около $180 тысяч, поясняет NYT. После массовых взломов он перестал отвечать своим собеседникам и пропал.

18 июля в Twitter заявили, что взломщики планировали получить доступ к 130 аккаунтам. Им удалось взломать 45 из них: сбросить пароли, войти в учётные записи и отправить твиты от их имени.

Взломщики, возможно, собирались продать адреса некоторых аккаунтов, говорят в Twitter. В компании также считают, что они использовали методы социальной инженерии, атаковав некоторых сотрудников Twitter с доступом к внутренним системам и инструментам.

#новости #twitter