Las cuentas de Twitter verificadas que pertenecen a individuos y compañías de alto perfil como Joe Biden, Bill Gates, Apple y Elon Musk prometieron a los seguidores un gran pago si solo enviaran bitcoin a una dirección de cadena de bloques, aparentemente para donar a la ayuda comunitaria de Covid-19 – después de que la plataforma de redes sociales fue violada.
“Estoy devolviendo a mi comunidad debido a Covid-19”, decía el mensaje de los piratas informáticos, señalando que la oferta fue válida solo durante 30 minutos.
“Somos conscientes de un incidente de seguridad que afecta las cuentas en Twitter. Estamos investigando y tomando medidas para solucionarlo “, tuiteó el Soporte de Twitter , prometiendo” actualizar a todos en breve “, señalando más tarde que inmediatamente bloqueó las cuentas afectadas y eliminó los tweets falsos.
Explicando que “hace varios años, hubo un evento similar en el que algunas cuentas aparentemente fueron violadas” y el culpable resultó ser “un sistema de acceso de terceros”, James McQuiggan, defensor de la seguridad en KnowBe4, dijo que el incidente de Twitter podría ser similar, pero a una escala mucho mayor, utilizando personalidades y empresas prominentes.
McQuiggan dijo que lo más preocupante es que los ciberdelincuentes pueden “haber tenido acceso a estas cuentas o posiblemente entraron en una cuenta de empleados de Twitter, e inevitablemente entraron en los sistemas administrativos del backend de Twitter”.
El truco podría haberse visto comprometido de varias maneras, incluida una “característica de soporte bastante común” que permite que “el personal administrativo y otros privilegiados se hagan pasar por otros usuarios para probar la funcionalidad de ese usuario”, dijo Shawn Smith, ingeniero de DevOps en nVisium. “Entonces, si Twitter ha puesto a disposición este tipo de configuración, es muy posible que una cuenta con acceso a esta función se vea comprometida, lo que lleva a un compromiso adicional de la cuenta”.
Kelvin Coleman, Director Ejecutivo de la Alianza Nacional de Seguridad Cibernética (NCSA) estuvo de acuerdo, dijo que “aunque no está claro cuál es la fuente del ataque de estafa criptográfica en Twitter, el tamaño y la escala de una operación como esta parece apuntar potencialmente a un empleado credenciales comprometidas, muy probablemente debido a algo tan simple como ser víctima de un ataque de suplantación de identidad (phishing), que luego permitió a un solo actor malo o grupo un amplio acceso a estas cuentas desde adentro “.
Además, “la intercepción de SMS en el restablecimiento de la contraseña y los defectos de lógica de restablecimiento de la contraseña son … vectores para el compromiso general de la cuenta de las redes sociales”, dijo Smith, quien cree que “la cantidad de cuentas comprometidas tan rápidamente hace que estos vectores de ataque [así como el phishing] improbable a menos que sea cuidadosamente coordinado y orquestado por un esfuerzo sindicado “.
Más tarde, Twitter confirmó en una serie de tuits que los piratas informáticos utilizaron el acceso que se dirigió con éxito a algunos empleados y obtuvo acceso a sistemas y herramientas internos “para tomar el control de muchas cuentas altamente visibles (incluidas las verificadas) y tuitear en su nombre”. La compañía estaba investigando “qué otra actividad maliciosa pudieron haber realizado o información a la que pudieron haber accedido y compartirán más aquí como la tenemos”.