Mõni päev tagasi Twitteri platvormil kinnitatud kontode nimel, sealhulgas: Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos ja teised – postitati teateid bitcoini rahakoti aadressiga, milles petturid lubasid sellesse rahakotti kantud summad kahekordistada.
Algne sõnumi sisu: "Tunnen tänulikkust, et kahekordistasin kõik minu BTC-aadressile saadetud maksed! Teie saadate 1,000 dollarit, mina saadan 2,000 dollarit tagasi! Tee seda ainult järgmise 30 minuti jooksul.
Tõlge: "Mul on hea meel kahekordistada kõik minu BTC-aadressile saadetud maksed! Kui saadate 1000 dollarit, saadan ma 2000 dollarit! Kuid ainult järgmise 30 minuti jooksul."
Hetkel (17. juulil) on petturite aadress täiendati 12.8 BTC (≈ 117 000 dollari) eest viidi tema osalusega lõpule 392 tehingut.
Ilmselt korraldasid rünnaku ründajad, kes olid tihedalt seotud kogukonnaga, mis on spetsialiseerunud kahefaktorilise autentimise ohustamisele suunatud SMS-i võltsimise rünnakutele.(SIM-i vahetamise pettus). Niisiis, vahetult enne massipostitust Twitteris veebisaidil https://ogusers. com avaldati teade, mille autor oli müüdud mis tahes Twitteri konto meiliaadress 250 dollari eest.
Mõnevõrra hiljem häkiti sisse mõned "tähelepanuväärse" aadressiga kontod; üks esimesi selliseid kontosid oli 6. aastal surnud "kodutu häkkeri" @2018 konto. Adriana Lamo. Juurdepääs kontole saadi Twitteri haldustööriistade abil, keelates kahefaktorilise autentimise ja võltsides parooli lähtestamiseks kasutatud e-posti aadressi.
Samamoodi varastati konto @b. Varastatud Twitteri konto ja haldustööriistad jäädvustati sellel fotol. Twitter on kustutanud kõik platvormi enda postitused koos administraatoritööriistade hetktõmmistega. Saadaval on administraatoripaneeli laiendatud pilt siin.
Üks Twitteri kasutaja @shinji (nüüd blokeeritud) postitas lühisõnumi: "follow @6" ja ka foto administraatori tööriistad.
@shinji profiili arhiivitud salvestisi säilitati vahetult enne häkkimissündmusi. Need on saadaval järgmistel linkidel:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Samal kasutajal on "tähelepanuväärsed" Instagrami kontod - j0e ja surnud:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Kinnitatudet kontod j0e ja surnud kuuluvad kurikuulsale SMS-petturile "PlugWalkJoe", keda kahtlustatakse mitme aasta jooksul suurte SMS-i võltsimise rünnakute toimepanemises. Samuti väidetakse, et ta oli ja võib endiselt olla ChucklingSquad SMS-pettuste grupi liige ja oli tõenäoliselt seotud Twitteri tegevjuhi Jack Dorsey konto häkkimine eelmisel aastal. Jack Dorsey kontole häkiti pärast sisse SMS-i võltsimise rünnakud AT&T-s vastutab rünnaku eest sama rühmitus "ChucklingSquad".
Väljaspool PlugWalkJoe võrku on ilmselt 21-aastane Briti üliõpilane Joseph James Connor, kes viibib praegu Hispaanias ilma COVID-19 olukorra tõttu lahkumisvõimaluseta.
PlugWalkJoe suhtes viidi läbi uurimine, mille käigus palgati uurija, kes uuristavaga kontakti loob. Uurijal õnnestus objektiga luua videoühendus, läbirääkimised toimusid ujula taustal, foto mis postitati hiljem Instagrami käepideme j0e alla.
Muide, seal on üsna vana minecrafti konto plugwalkjoe.
Märkus: uurimine ei ole lõppenud. Kuni uurimise lõpuleviimiseni ei tohiks kedagi kaubamärgi alla panna, kuna on võimalik, et @shinji on lihtsalt kujund.
Esimene laialt tuntuks saanud pahatahtlik sõnum avaldati 15. juulil kell 17:XNUMX UTC Binance'i nimel, sellel oli järgmine teave sisu: "Oleme teinud koostööd CryptoForHealthiga ja tagastame 5000 BTC." Sõnum sisaldas linki kelmuse saidile, mis võttis vastu "annetusi". Varsti avaldati see ametlikul Binance'i veebisaidil ümberlükkamine.
Twitteri toe teatel: "Oleme tuvastanud koordineeritud sotsiaalse manipuleerimise rünnaku meie töötajate vastu, kellel on juurdepääs sisemistele tööriistadele ja süsteemidele. Teame, et ründajad on seda juurdepääsu kasutanud populaarsete (sealhulgas kinnitatud) kontode üle kontrolli haaramiseks, et nende nimel sõnumeid avaldada. Jätkame olukorra uurimist ja püüame välja selgitada, milliseid muid pahatahtlikke tegusid pandi toime ja millistele andmetele nad võisid juurde pääseda.
Niipea kui juhtunust teada saime, peatasime kohe mõjutatud kontod ja eemaldasime pahatahtlikud sõnumid. Lisaks oleme piiranud ka palju suurema kontorühma, sealhulgas kõigi kinnitatud kontode funktsionaalsust.
Meil ei ole tõendeid selle kohta, et kasutajate paroolid on rikutud. Ilmselt ei pea kasutajad oma paroole uuendama.
Täiendava ettevaatusabinõuna ja kasutajate turvalisuse tagamiseks oleme blokeerinud ka kõik kontod, mis on viimase 30 päeva jooksul üritanud oma parooli muuta.
17. juulil avaldas tugiteenus uusi üksikasju: "Olemasolevatel andmetel olid ründajad mingil moel mõjutanud ligikaudu 130 kontot. Jätkame uurimist, kas see mõjutas mitteavalikke andmeid, ja avaldame üksikasjaliku aruande, kui see nii oli.
Samal ajal jagab Twitter langes 3.3%.
Allikas: linux.org.ru