Twitterが同社の14年の歴史の中で最大規模のハッキングの標的になってから48時間以上が経過した。しかし、ハッカーまたはハッカーのグループがどのようにして侵入するのかについては、まだほとんどわかっていません。アクセス権を獲得したビットコイン詐欺をツイートするために、プラットフォームの最大の認証ユーザーであるバラク・オバマ元大統領、イーロン・マスク、カニエ・ウェストらのアカウントに送信した。
しかし、情報セキュリティ コミュニティに参加しているある Twitter ユーザーは、ハッキングの少なくとも 1 つの主要な部分がどのようにして起こったかについて非常に良い考えを持っています。それでは、分解してみましょう。
ツイートは削除された可能性があります
Lucky225、亡くなったハッカーとチェルシー・マニングとのつながり
Twitter ユーザー名で活動するセキュリティ研究者ラッキー225非常に興味深いことを書きましたミディアムポスト木曜日、大規模なTwitterハッキングに関する彼自身のユニークな経験を詳しく語った。
水曜日に攻撃のことを聞くと、Lucky225 さんはすぐに、珍しい Twitter ハンドルを持つ彼が運営しているアカウントの 1 つのステータスを確認しました。@6。これらのハンドルは、非常に短いか汎用的であるため、プラットフォームの初期に登録する必要があったため、「OG ユーザー名」と呼ばれることがよくあります。
Lucky225 は、2018 年に亡くなった Adrian Lamo がかつて所有していた @6 Twitter アカウントを管理しています。
Lamo の名前に聞き覚えがあるとしたら、それはほぼ確実に彼の名前を聞いたことがあるからです。 Lamo は 2000 年代初頭のハッカー界では有名な人物でした。しかし、2010年にラモは、漏洩した機密情報をウィキリークスに提供したチェルシー・マニングの役割について米国当局に通報していたというニュースになった。これによりマニングは逮捕された。
Lucky225 が調べてみると、確かに、Lamo の家族が彼に実行許可を与えた @6 Twitter アカウントからログアウトされていたことがわかりました。
Microsoftの創設者ビル・ゲイツとAmazonの創設者ジェフ・ベゾスが所有する認証済みTwitterアカウントが同じビットコイン詐欺についてツイートし始める数時間前に、Lucky225が電子メールを受け取っていたことが判明した。このメールは Twitter からのものではありませんでした。それは Google Voice からのもので、Lamo の @6 アカウントのパスワードのリセットに関するテキスト メッセージが送信されたことを知らせるものでした。 Lucky225 はこのリセットを要求していませんでした。
ツイートは削除された可能性があります
Twitterが今私たちに伝えていること
水曜日にハッキングが発生した際、Twitterの内部管理パネルを描写したとされるもののスクリーンショットが、同社がユーザーアカウントを監視し管理するために使用する一種の「マスターツール」としてプラットフォーム上で共有されていた。これらが本当にプラットフォームのバックエンドの本物のスクリーンキャップであるかどうかはまだ確認されていません。
しかし、非常に多くの大規模ユーザーのアカウントが一度にアクセスされるため、ハッカーはフィッシングメールやその他の古典的なソーシャルエンジニアリング手法を介して各ユーザーをターゲットにする通常の方法を使用しなかったのはほぼ確実であると考えられています。ハッカーが社内に連絡先を持っていたのか、管理者アクセスを持つ従業員自身がソーシャルエンジニアリングされたのかはまだ不明です。
私たちが知っていることは次のとおりです: 認証済みユーザーのアカウントからのビットコイン詐欺ツイートの攻撃と集中砲火を阻止するために、同社はすべての認証済みアカウントを短期間ロックダウンしました。 (パスワードを変更しようとしたアカウントも含む)その間攻撃はロックアウトされ、多くの人がまだ問題があるオンラインに戻ります。)
ツイートは削除された可能性があります
ツイッターはそれ以来、確認済み約130人の認証済みユーザーが攻撃の影響を受けたという。同社は現在、ハッカーがアカウントの資格情報にアクセスできなかったため、ユーザーがアカウントのパスワードを変更する必要はないと考えているとも述べている。ただし、調査はまだ進行中です。そしてTwitterはまだそれ以上のことを何も言っていない。
ハッカーはどのようにして認証済みアカウントにアクセスしたのか
金曜日の夕方に発表された新しいレポートは、ニューヨークタイムズ管理パネルがどのように侵害されたのかについてもう少し詳しく説明します。
マッシュ可能な光の速度
報告書によると、メッセージングサービスDiscord上で「カーク」という名前のハッカーが「Twitterの内部Slackメッセージングチャネルへの侵入方法を見つけたとき」バックエンドツールにアクセスし、そこに投稿されている認証情報を発見したという。カーク氏はまた、Slack ボードで同社のサーバーへのアクセスを発見しました。
しかし、Google Voiceのパスワードリセットに関するLucky225の経験が、ハッカーがTwitterの管理パネルに入ってから正確に何をしたかを知る鍵を握るかもしれない。攻撃者が @6 を乗っ取る前にパスワードをリセットする必要があったという事実は、管理パネルからツイートやパスワードの変更ができないことを示すかなり説得力のある証拠です。
では、そのバックエンド ツールを使用すると何ができるのでしょうか? Lucky225 氏によると、Twitter の管理者アクセス権を持つユーザーが実行できると考えていることは 2 つあります。それは、アカウントに関連付けられているメール アドレスの変更と、2 要素認証の取り消しです。
ハッカーは、通常はユーザーの携帯電話に送信される 2FA コードによって提供される追加のセキュリティ層を必要とせずに、電子メールによるパスワード リセットを通じて @6 アカウントを乗っ取ることができました。
Twitterはその後、Lucky225の疑惑を事実上認めた。彼が @6 アカウントの制御を取り戻した後、会社は彼のアカウントの 2FA がオフになったことを示す電子メールを彼に送りました。彼はまた、パスワードの変更要求も受け取りました。
さらに、ハッキング当日にパスワードのリセットに関する SMS テキスト メッセージが彼の Google Voice 番号に送信されたという興味深い点もあります。 Lucky225 が投稿で述べているように、ハッカーは 2FA をオフにしてもファイル上の電話記録が完全に削除されないことに気づかなかったのでしょうか?それとも管理画面からは変更できないものなのでしょうか?それはすべて不明です。
なぜ@6?
私が今あなたに直接答えることができる最後のことは、おそらく次の質問です。なぜ... なぜハッカーは亡くなったハッカー、エイドリアン・ラモの古い Twitter アカウントを狙ったのでしょうか?
実はとてもシンプルなのです。先ほども書きましたが、@6はOGアカウントです。
ツイートは削除された可能性があります
特定のオンライン サークルでは、短い一般的なソーシャル メディア ユーザー名が人気の商品となっています。ソーシャル メディア プラットフォームの立ち上げ直後に登録されることが多く、これらのハンドルをステータス シンボルと見なす人もいます。ドメイン名の投機と同様に、これらの OG または「元のギャング」アカウントは、オンライン フォーラムやアフターマーケットで数千ドルで取引される可能性があります。
他のオンライン経済と同様に、ソーシャル メディアのハンドルを購入すると、正当で優れた短い名前が付けられるか、詐欺に引っかかって現金がなくなってしまう可能性があります。たとえば、フォーラム OGusers は、違法な手段で入手した OG アカウントを質に入れようとする販売者にとって悪名高い場所です。
実は、前述したように、タイムズレポートカークがその日の早い時間にOGユーザーにレアハンドルを販売するのを手伝った多くのハッカーと話した後、カークがどのようにして管理パネルにアクセスしたのかに関する情報を明らかにした。
彼のウェブサイトでクレブスが語るセキュリティ長年サイバーセキュリティ記者を務めるブライアン・クレブス氏は、水曜日にハッキングが発生している間に、@shinjiというハンドル名で現在活動停止中のTwitterユーザーの一人が、@6アカウントの所有についてどのようにツイートしていたかを指摘した。
スクリーンショットは次の場所で見ることができます上のツイート。
のニューヨークタイムズ報告書はまた、誰が @6 Twitter ハンドルを制御したかについてのブライアン・クレブスの調査を裏付けています。ただし、回フルネームを提供したこの人物、ジョセフ・オコナーは、その日の初めにユーザー名 PlugWalkJoe で OGusers のアカウントを購入しただけであることを発見しました。オコナー氏はアカウントやTwitterの管理パネルをハッキングした張本人ではない。
オコナー氏は以前、@dead や @j0e などの OG アカウントを所有していることを自慢していました。 @shinji に加えて、他の Twitter ユーザーも、Twitter ユーザー名 @b のような稀なハンドルへのバックエンド アクセスを示す、Twitter の管理パネルからのスクリーンショットを投稿していました。
Twitter 管理パネルのユーザー @B のスクリーンショット。 クレジット: twitter スクリーンショット: セキュリティに関する krebs
では、攻撃の背後にいるのは誰でしょうか?
Lucky225 氏は、自身の経験に基づいて、Twitter 侵害には複数のハッカーが関与していると考えています。 @6 ユーザー名は、ビットコイン詐欺が認証済みアカウントのタイムラインに表示され始めるかなり前に盗まれていました。さらに、@6 アカウントはそもそもビットコイン詐欺に関するツイートを送信していません。
最新のレポートを見ても、回、Twitter管理パネルのハッキングにカークだけが関与していたのかどうかは不明だ。結局のところ、カークは複数の人物である可能性もあります。ただし、私たちはから知っています回カークが盗んだ名前の販売には複数の関係者が関与していたという。
現時点では、Twitter への攻撃の背後に誰がいるのかは、すべて推測にすぎません。これらのハンドルを複数の関係者に販売すると、事態は確実に泥沼化するでしょう。クレブスは昨日の報道の中で、オコナー氏が何らかの形で攻撃に関与した疑いがあることを示す兆候があると述べた。おそらくそれは今でも真実であることが判明する可能性があります。しかし、回最新の調査はそれを否定しているようです。
ハッキングの背後にいるのが誰なのかはまだわかっておらず、Twitter が関与しているのかどうかも不明です。