[ Zavřít ] 


 

RSS Kanál

 

Twitter podlehl masivnímu kyberútoku

Twitter podlehl kyberútoku. A to masivnímu. Nebyly jen napadeny jednotlivé účty, ale došlo ke kompromitaci systému Twitteru - konkrétně některé z jeho programových komponent, která umožnila opakovaný přístup k napadeným účtům. Útočníci nezasáhli jen tak pro srandu králíkům, ale prostřednictvím účtů celebrit a známých značek vylákali z kapes důvěřivců statisíce dolarů.

 

Twitter podlehl masivnímu kyberútoku (Zdroj: Pixabay.com)

Celý Twitter zachvátil kryptoscam - tedy podvod (scam), který se snaží z důvěřivců vylákat peníze. V rámci víry v nevystopovatelnost využívají útočníci anonymní platební prostředky: kryptoměny.  A aby to bylo byť jen kapku uvěřitelné, napadnou a zneužijí (nejlépe oficiální) účet známé osobnosti či firmy.

Tento model útoku se v minulosti již několikrát objevil. Ač je zákeřný, bývá omezený svým dosahem a často i nízkou důvěryhodností. Často totiž nekoresponduje s dlouhodobým poselstvím účtu, používá jiné vyjadřovací prostředky a tonalitu komunikace vůbec. Bývá rychle identifikován coby útočný pokus a snadno zastaven buď přímo správcem účtu, nebo za pomoci podpory Twitteru. Ovšem tentokrát bylo všechno jinak. 

Útočný kryptoscam na oficiálním Twitteru značky Apple (Zdroj: Twitter)

Twittery mnoha celebrit a značek začaly ve středu 15. července 2020 v 16 hodin času východního pobřeží USA (22:00 našeho času) začaly svorně šířit nótu dobročinnosti. Konkrétně šlo o účty Billa Gatese, Elona Muska, Baracka Obamy, Warrena Buffetta, Jeffa Bezose, Michaela Bloomberga, Kanyeho Westa, oficiální účty značek Apple, Uber, NBC a další. A poselství bylo kupodivu celkem umně formulováno:

Myslíme, že je na čase vrátit něco zpět komunitě. Podporujeme Bitcoin a myslíme, že vy byste měli také. 

Vše, co nám pošlete v průběhu 30 minut od teď pošlete, vám vrátíme zpět.

Bitcoinová peněženka: bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh

Pouze 30 minut! Užívejte!

A dařilo se. Ona blockchainová peněženka nyní čítá 12.86584703 BTC (cca 116 616 USD či 2 733 264 CZK). Akce údajně trvala 2 hodiny. Twitter celou situaci připustil v 23:45 našeho času: „Zaznamenáváme bezpečnostní incident, který ovlivňuje účty na Twitteru. Celou situaci prošetřujeme a podnikáme kroky, abychom ji zabránili.“ Poté se Twitter pustil do stejně masivního zablokování všech postižených účtů , zamezení přístupu k účtům a prošetření celé situace. Své uživatele Twitter informuje:

  • Detekovali jsme útok pomocí sociálního inženýrství, zaměřený na naše zaměstnance, kteří měli přístup k interním nástrojům a systémům. 
  • Už víme, že zneužili získaný přístupu k ovládnutí mnoha účtů, kterým se dostává zvýšené pozornosti (a to včetně účtů ověřených). Z těchto účtů pak útočníci postovali tweety. Právě zjišťujeme, co všechno mohli útočníci přes tento vstup provádět či k jakým informacím se mohli dostat.
  • Jakmile jsme zjistili narušení bezpečnosti, uzamkli jsem tyto účty a odstranili tweety postnuté útočníky.
  • Také jsme omezili funkčnost mnohem širší skupině účtů, a to včetně účtů ověřených, i když u nich nejsou známky ohrožení bezpečnosti.
  • Uzamkli jsme přístup k napadeným účtům a opět je zpřístupníme majitelům teprve tehdy, až si budeme jisti, že tak můžeme učinit zcela bezpečně. 
  • Interně jsme značně omezili veškeré přístupy k vnitřním nástrojům a systémům do té doby, než skončí vyšetřování.

Ze všeho vyplývá, že útočným vektorem tentokrát nebyla hrubá síla lámání hesel konkrétních hesel, ale napadení Twitteru přes to, co několikrát označuje jako interní nástroje a systémy. Útočníci se k nim dostali přes úspěšné sociální inženýrství provedené na zaměstnance Twitteru. 

Zásadní otázkou, jaké po každém narušení bezpečnosti zůstává, nakolik se útočníky podařilo dostat ze systému? A nakolik je jisté, že už nemají přístup k oněm interním nástrojům a systémům? 

Zdroje

 

 

 

 

 

20 GB za očkování? Ulož.to!

20 GB stahování dat plnou rychlostí nabízí sdílecí server Ulož.to. Činí tak v rámci kampaně Očkuj se s Ulož.to, která je cílena na podporu očkování proti koronaviru COVID-19. Uloz.to se tak přidává k řadě firem, které...

V testech pokročilých hrozeb nejlépe skóroval Avast/AVG

AV-Comparatives se v aktuálním testu ochran před pokročilými kyberhrozbami zaměřili na software velkých jmen. Testovali jak zabezpečení koncových bodů ve firemním prostředí, tak i spotřebitelský software určený pro domácí použití....

Seznam.cz varuje před extrémním počasím přímo ve vyhledávání

Vyhledávání Seznamu.cz nabídne widget Počasí.cz doplněný o varování Českého hydrometeorologického ústavu. Díky tomu budou uživatelé nejen okamžitě upozorněni na blížící se nebezpečí, ale také...

Firefox 94: všehochuť podzimních novinek

Firefox si v 94. iteraci připravil podzimní barvičky, defaultní aplikaci site isolation, možnost tichých aktualizací na pozadí bez běžící aplikace, snížení množství upozornění a spoustu implementací funkcionalit specifických pro Windows 11, macOS i...


 
© 2005-2021 PS Media s.r.o. - digital world
 

reklama