Twitter perdió el control de sus sistemas internos ante atacantes que secuestraron casi una docena de cuentas de alto perfil, en una brecha que plantea serias preocupaciones sobre la seguridad de una plataforma que se está volviendo cada vez más influyente.
Los primeros signos de compromiso ocurrieron alrededor de la 1 p.m., hora de California, cuando las cuentas secuestradas, pertenecientes al exvicepresidente Joe Biden, Elon Musk, Bill Gates y otras personas con millones o decenas de millones de seguidores, comenzaron a enviar mensajes que intentaban estafar a la gente. transferir criptomonedas a billeteras controladas por atacantes.
en un Pío emitido unas siete horas después de que comenzara la ola de toma de control masiva, los funcionarios de Twitter dijeron que los atacantes parecían tomar el control engañando o convenciendo a los empleados para que entregaran sus credenciales.
“Detectamos lo que creemos que es un ataque coordinado de ingeniería social por parte de personas que se dirigieron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internas”, decía el tuit. “Sabemos que usaron este acceso para tomar el control de muchas cuentas altamente visibles (incluidas las verificadas) y twittear en su nombre. Estamos investigando qué otra actividad maliciosa pueden haber realizado o información a la que pueden haber accedido y compartiremos más aquí a medida que la tengamos”.
Sabemos que usaron este acceso para tomar el control de muchas cuentas altamente visibles (incluidas las verificadas) y Twittear en su nombre. Estamos investigando qué otra actividad maliciosa pueden haber realizado o información a la que pueden haber accedido y compartiremos más aquí a medida que la tengamos.
— Soporte de Twitter (@TwitterSupport) 16 de julio de 2023
Una vez que Twitter se enteró de las adquisiciones, el personal de la empresa bloqueó las cuentas y eliminó los tuits. El hilo de tuits de Twitter no explicó por qué la cuenta de Musk publicó tuits fraudulentos después de que se eliminaron los anteriores.
Malo para la seguridad Marketingdecontenido, también
El compromiso plantea serias preocupaciones de seguridad Marketingdecontenido debido al potencial que tenía para sembrar el pánico y el caos. Con el control de prácticamente todas las cuentas de Twitter, los atacantes podrían haber secuestrado las que pertenecen al presidente Trump o a las agencias gubernamentales y hacer mucho peor que reproducir una estafa de criptomonedas que ha estado ocurriendo durante años. Twitter finalmente contuvo el compromiso masivo, pero solo después de que una avalancha de mensajes fraudulentos fluyó constantemente desde el sitio de redes sociales durante varias horas.
No es la primera vez que Twitter sufre una brecha grave de este tipo. En 2010, la empresa resolvió los cargos de la Comisión Federal de Comercio por fallas que permitieron a los piratas informáticos obtener control administrativo no autorizado de los sistemas internos. La violación, dijo la FTC, les dio a los atacantes acceso a datos de usuarios y tweets privados y la capacidad de hacer tweets falsos desde cualquier cuenta, incluidas las pertenecientes al entonces presidente electo Barack Obama y Fox News.
Apenas unas horas después de que saliera a la luz la violación del miércoles, el senador estadounidense Josh Hawley envió una carta al CEO de Twitter, Jack Dorsey, pidiéndole que se comunique con el FBI para asegurarse de que el sitio sea seguro.
“Me preocupa que este evento pueda representar no solo un conjunto coordinado de incidentes de piratería informática separados, sino un ataque exitoso a la seguridad de Twitter”, escribió Hawley. “Como saben, millones de sus usuarios confían en su servicio no solo para twittear públicamente sino también para comunicarse en privado a través de su servicio de mensajes directos. Un ataque exitoso a los servidores de su sistema representa una amenaza para la privacidad y la seguridad de los datos de todos sus usuarios”.
Un artículo publicado por Motherboard, citando a piratas informáticos no identificados y capturas de pantalla que corroboran, dijo que los atacantes obtuvieron acceso pagando a un informante de Twitter. La publicación continuó mostrando un panel que controlaba la cuenta de Binance, un intercambio de criptomonedas cuya persona de Twitter fue secuestrada.
Otras capturas de pantalla que circularon ampliamente mostraban lo que supuestamente eran capturas de pantalla de las herramientas administrativas de Twitter. Si bien las capturas de pantalla no han sido confirmadas, Twitter eliminó repetidamente dos de ellas y canceló la cuenta de una persona que las publicó inicialmente. Los piratas informáticos y la gente de seguridad dijeron que los consideraban plausibles. Las dos capturas de pantalla iniciales aparecen a continuación:
El codiciado identificador de Twitter de Adrian Lamo también está en el punto de mira
Además de las de celebridades, líderes empresariales y políticos, la cuenta de Twitter de Adrián Lamo—un hacker conocido por hazañas de alto perfil y por entregar a Chelsea Manning y que murió en 2023— también se vio comprometido el miércoles en circunstancias similares.
El hacker y amigo Lucky225, que ha tenido el control de la cuenta desde la muerte de Lamo (con la bendición de su padre), dijo que Twitter le envió un código de confirmación para restablecer la contraseña de la cuenta a las 10:23 a. m., hora de California, unos 90 minutos antes de la primera. signos públicos de una infracción. A pesar de no ingresar el código, Lucky225 (su nombre legal, dice) recibió una notificación de la aplicación advirtiéndole que un nuevo dispositivo había iniciado sesión en la cuenta de Lamo por primera vez.
suerte225
En un golpe de suerte, Lucky225 dijo que pudo recuperar el control de la cuenta porque, si bien los piratas habían cambiado la dirección de correo electrónico asociada con la cuenta, no habían podido cambiar el número de teléfono. Lucky225 dijo que usó el número de teléfono para recuperar el control. Luego, en un giro extraño y actualmente inexplicable, el amigo de Lamo dijo que a las 8:30 p. m. descubrió que la cuenta había sido secuestrada nuevamente, o al menos parcialmente, cuando Twitter le envió un correo electrónico nuevamente para decirle que la autenticación de dos factores acababa de desactivarse.
suerte225
“Qué raro… la contraseña (que se generó aleatoriamente en el administrador de PW hoy cuando recuperé la cuenta antes) aún funciona”, me dijo Lucky225 en un mensaje de texto que dejó caer y abrevió algunas palabras. “Pero cuando lo uso para iniciar sesión dice que la cuenta está bloqueada. Y luego quiere que cambie mi contraseña para continuar, pero en realidad no me deja hacerlo porque aparentemente se cambió el correo electrónico”.
Dijo que es posible que Twitter esté detrás de la segunda adquisición porque los empleados de la empresa creyeron erróneamente que la cuenta aún estaba comprometida. Otra posibilidad es que los piratas informáticos de alguna manera lograron entrar a la fuerza explotando una vulnerabilidad en varias aplicaciones de terceros que, a través del protocolo OAuth, tenían permiso para acceder a la cuenta de Lamo.
Lucky225 dijo que sospecha que los atacantes apuntaron a la cuenta de Lamo por su identificador, @6, que en un solo carácter es muy codiciado por muchos piratas informáticos. No está seguro de si los mismos piratas informáticos fueron responsables de los secuestros de las cuentas de Lamo y celebridades, pero dijo que la capacidad de eludir dos veces los controles de contraseña y 2FA sugiere que quienquiera que esté detrás de la toma de control de la cuenta de Lamo tenía el control de los sistemas internos de Twitter.
Una portavoz de Twitter dijo que la compañía no tenía nada que agregar más allá de la información en el hilo del tuit.
Los titulares de cuentas de Twitter deben seguir las instrucciones de seguridad habituales para bloquear las cuentas. El consejo incluye usar una contraseña segura (única para la cuenta, generada aleatoriamente usando dados o letras, números y caracteres especiales), 2FA y activar la protección de restablecimiento de contraseña de Twitter, que requiere que los usuarios proporcionen información adicional antes de una frase de contraseña. puede ser cambiado. Dado que esas medidas se pasaron por alto el miércoles, es posible que no sean suficientes.