В ночь с 15 на 16 июля Twitter подвергся массированной хакерской атаке. Специалисты уже назвали взлом, который затронул аккаунты Барака Обамы, Джо Байдена, Илона Маска, Билла Гейтса, Канье Уэста, Майкла Блумберга и Apple, одним из крупнейших в истории соцсети. Киберзлоумышленники использовали учётные записи знаменитостей для проведения мошеннических операций с биткоинами: пользователям предлагали отправить перевод на кошелёк, чтобы получить обратно в два раза большую сумму.


Одним из первых об акции невиданной щедрости «рассказал» глава Tesla Илон Маск. Чуть позже аналогичным сообщением с идентичным адресом биткоин-кошелька поделился аккаунт соучредителя Microsoft Билла Гейтса. Обе учётные записи продолжали обновляться новыми твитами с мошеннической схемой, пока Twitter удалял старые посты. При этом аккаунт Маска находился под контролем хакеров даже после того, как платформа узнала о взломе.

Пресс-секретарь Гейтса подтвердил, что миллиардер не имеет никакого отношения к твитам.

Мы можем подтвердить, что этот твит не был отправлен Биллом Гейтсом. Похоже, это часть более широкой проблемы, с которой сталкивается Twitter. Twitter в курсе неё и работает над восстановлением аккаунта, — говорилось в сообщении.

Вскоре после этого мошеннические сообщения появились на страницах бывшего президента США Барака Обамы, кандидата в президенты от демократов Джо Байдена, генерального директора Amazon Джеффа Безоса, рэп-исполнителя Канье Уэста, бывшего мэра Нью-Йорка и миллиардера Майкла Блумберга, Uber и Apple, которая, к слову, до инцидента не опубликовала ни одного поста.

Под ударом оказались и популярные аккаунты, связанные с криптовалютой: Coinbase, Binance, Coindesk, а также Gemini братьев Уинклвоссов. Один из них рассказал в Twitter, что учётная запись была защищена «двухфакторной аутентификацией и сложным паролем».

На момент написания материала кошелёк мошенников пополнился на сумму более $117 тысяч. При этом корреспондент BuzzFeed News Райан Мак заметил, что несмотря на то что транзакции проходят, часть средств могли прислать сами киберзлоумышленники — скамеры часто делают переводы на свой счёт, чтобы придать ему подлинности.

«Тяжёлый день»

Представители Twitter сообщили, что они знают об «инциденте с безопасностью», уже его расследуют и предпринимают шаги, чтобы всё исправить. Через полчаса после этого заявления разработчики отключили возможность отправлять твиты с верифицированных аккаунтов или менять пароль.



Чуть позже ситуацию прояснило издание Motherboard. Его источники рассказали, что в хакерских сообществах обмениваются скриншотами со средствами внутреннего администрирования Twitter, которые якобы и использовались для получения контроля над верифицированными аккаунтами высокого класса. Платформа, в свою очередь, начала удалять компрометирующие изображения, а в некоторых случаях даже приостанавливала действие учётных записей пользователей, которые продолжали делиться находкой.

Эксперт российского исследовательского центра «Лаборатории Касперского» Дмитрий Галов в комментарии NEWS.ru предположил, что судя по количеству единовременно скомпрометированных аккаунтов, злоумышленникам удалось получить доступ к учётным записям через средства внутреннего администрирования.

Сама по себе схема размещения подобных скам-сообщений в верифицированных аккаунтах или в комментариях не новая, однако в этот раз злоумышленникам удалось одновременно дотянуться до большого количества профилей. Получив доступ к аккаунтам, они поменяли всем почты, чтобы настоящие пользователи не могли оперативно вернуть доступ к своим страницам. В момент атаки Twitter оперативно заблокировал все верифицированные аккаунты, чтобы никто не мог в них ничего постить, но сейчас постепенно начинает снимать ограничения.

Дмитрий Галов

эксперт российского исследовательского центра «Лаборатории Касперского»

Спустя несколько часов после начала инцидента Twitter поделился первыми подробностями расследования. Компания назвала взлом скоординированной атакой с помощью методов социальной инженерии, за которую несут ответственность люди, добравшиеся до некоторых сотрудников компании с доступом к внутренним системам и инструментам.

Мы знаем, что они использовали этот доступ, чтобы взять под контроль многие весьма известные (в том числе верифицированные) учётные записи, и публиковали твиты от их имени. Мы изучаем, какую ещё вредоносную деятельность они могли совершить или к какой информации могли получить доступ. Мы будем делиться новыми данными по мере поступления, — отмечается в сообщении.

Глава Марк Дорси уже прокомментировал инцидент. Он назвал взлом «тяжёлым днём» для сотрудников компании и добавил, что все чувствуют себя ужасно из-за произошедшего. Исполнительный директор компании добавил, что сейчас разработчики занимаются диагностикой, и пообещал поделиться всем, чем они смогут, когда у них будет более полное понимание того, что именно произошло.

Туманное будущее

Сергей Булкин/NEWS.ru

Как пояснил NEWS.ru заместитель руководителя Лаборатории компьютерной криминалистики Group-IB Сергей Никитин, ещё один из неочевидных нюансов взлома заключается в том, что атакующие имели полный доступ к аккаунтам, в том числе к Direct Messages. Уже сейчас понятно, что инцидент несёт огромные репутационные, а вслед за этим и финансовые потери для Twitter.

У взлома могут быть куда более серьёзные последствия для пользователей. Так, директор управления информационных технологий ESET Russia Руслан Сулейманов считает, что существует вероятность того, что в Сети могут оказаться личные данные юзеров.

Если говорить про пароли от самих аккаунтов Twitter, вероятность очень мала, так как в любой более-менее серьёзной системе пароли не хранятся в открытом виде, только в зашифрованном, в виде так называемого хеша пароля. Переписки могут быть скомпрометированы, а некоторые пользователи могли утратить доступ к своим аккаунтам, так как административная часть платформы наверняка позволяет изменить пароль на новый для учётных записей.

Руслан Сулейманов

директор управления информационных технологий ESET Russia

Эксперт добавил, что есть вероятность того, что утекли данные гораздо большего количества пользователей и злоумышленники после анализа этих данных могут выставить их на продажу в Даркнете. По словам Сулейманова, пострадавшие могут подать судебные иски к платформе и в самом Twitter наверняка произойдёт отток части юзеров.

Заместитель руководителя Лаборатории компьютерной криминалистики Group-IB, в свою очередь, посетовал на то, что люди по-прежнему становятся жертвами подобных мошеннических схем.

Люди всё ещё ведутся на «бесплатный сыр», «акции невиданной щедрости» и не соблюдают цифровую гигиену, ведь очевидно, что любое предложение, пусть со страниц официального аккаунта об удвоении присланной суммы, — это откровенное мошенничество.

Сергей Никитин

замруководителя Лаборатории компьютерной криминалистики Group-IB

В «Лаборатории Касперского» уверены: то, что злоумышленникам удалось реализовать такую крупную атаку, ещё раз доказывает, что социальная инженерия остается одним из самых действенных методов. При этом попасться на уловки мошенников могут даже люди, обладающие цифровой грамотностью.

Конечно, обеспечение кибербезопасности является одним из главных приоритетов для социальных сетей, они прилагают огромные усилия для предотвращения атак каждый день. Однако полностью исключить программные ошибки или человеческий фактор невозможно, из чего следует, что даже подобные платформы могут быть скомпрометированы, — уверен Галов.

Специалисты по кибербезопасности сходятся во мнении, что пользователям не стоит переходить по подозрительным ссылкам в почте, социальных сетях и мессенджерах. Кроме того, нужно скептически относиться к сообщениям о крупном выигрыше или выплате, даже если они опубликованы в официальных Twitter-аккаунтах.

В то же время, как отметил Сулейманов в комментарии NEWS.ru, защититься от такого рода атаки обычному пользователю невозможно, поскольку в самой платформе должны быть заложены механизмы защиты, которые исключают компрометацию клиентских данных.

Самое интересное — в нашем канале Яндекс.Дзен