El ataque de Twitter aumenta las preocupaciones sobre su …



Los atacantes obtuvieron temporalmente el handle de las cuentas de Joe Biden, Barack Obama, Bill Gates y otros, para tuitear una estafa de bitcoin.

Han surgido múltiples teorías sobre cómo los atacantes secuestraron el miércoles brevemente cuentas de Twitter que pertenecen a varias personas de alto perfil, incluido el candidato presidencial demócrata Joe Biden, y las usaron para tuitear una estafa de bitcoin.

Twitter mismo describió la breve adquisición como resultado de un ataque de ingeniería social contra algunos de sus empleados, incluso cuando surgió un nuevo reclamo sobre la posible participación de personas malintencionadas en el incidente. Mientras tanto, Reuters Hoy informaron que fuentes no identificadas dicen que el FBI está liderando una investigación federal sobre el incidente.

El miércoles por la noche, las cuentas de Twitter de Biden, el ex presidente Barack Obama, el fundador de Microsoft Invoice Gates, el CEO de Tesla, Elon Musk, y varias docenas de otras personas y compañías de alto perfil, incluidas Uber y Apple, fueron tomadas y utilizadas para tuitear una estafa de bitcoin.

Los tweets instaron a las personas a enviar bitcoins a una dirección específica contenida en el mensaje, con la promesa de que el monto se les devolvería duplicado, si lo hicieran dentro de 30 minutos o una hora. El supuesto tweet de Gate, por ejemplo, prometió $ 2,000 a las personas que enviaron $ 1,000 en Bitcoin. Algunos vendedores de seguridad estimado los estafadores ganaron más de $ 100,000 antes de que Twitter pudiera cerrar la travesura.

El incidente, que sucedió en medio de preguntas sobre plataformas de redes sociales que se utilizan para difundir noticias falsas y desinformación, ha suscitado una gran preocupación.

Los expertos en seguridad han expresado su sorpresa por el hecho de que los atacantes pudieron hacerse cargo de las cuentas que pertenecían a algunas de las personas más influyentes en Twitter y han dicho que el incidente plantea varias preguntas serias sobre los mecanismos de handle de acceso del gigante de las redes sociales.

Muchos han cuestionado el uso de la empresa de la autenticación multifactor para proteger el acceso a cuentas de administrador privilegiadas y se han preguntado por qué esos mecanismos no pudieron evitar que alguien se hiciera cargo de cuentas con literalmente cientos de millones de seguidores entre ellos.

«Es difícil comprender que los empleados de Twitter no tendrían su propio acceso protegido por 2FA, por lo que esto plantea preguntas sobre cómo sería posible que un ataque de ingeniería social tenga éxito», dijo Costin Raiu, director del equipo de investigación y análisis global de Kaspersky. en un comentario enviado por correo electrónico

en un serie de tweets anoche, Twitter describió el incidente como resultado de un ataque de ingeniería social dirigido a algunos empleados con «acceso a sistemas y herramientas internos».

«Sabemos que usaron este acceso para tomar el control de muchas cuentas altamente visibles (incluidas las verificadas) y tuitear en su nombre», dijo Twitter. «Estamos investigando qué otra actividad maliciosa pueden haber realizado o información a la que hayan accedido y compartiremos más aquí cuando la tengamos».

La compañía dijo que después del ataque había iniciado una serie de pasos para proteger sus sistemas internos de nuevos abusos mientras investigaba lo que podría haber sucedido. En un mensaje, el cofundador y CEO de Twitter Jack Dorsey articuló su frustración a lo que algunos han descrito como la peor y más grave falla de seguridad en la compañía hasta ahora. «Fue un día difícil para nosotros en Twitter. Todos nos sentimos terribles de que esto haya sucedido. Estamos diagnosticando y compartiremos todo lo que podamos cuando tengamos una comprensión más completa de lo que sucedió exactamente».

Andy Ellis, CSO de Akami, dice que en este caso unique, el compromiso de Twitter fue a través de permisos de usuario internos. Pero las tomas de cuenta similares pueden resultar potencialmente a través de sistemas y API de terceros, dice. «Creo que hay muchas cosas para llevar aquí», dice.

Las adquisiciones de cuentas como esta no siempre involucran a alguien que toma el manage directo de un sistema, dice. A veces, un atacante puede obtener acceso a sistemas de terceros como Hootsuite, CoTweet y Dynamic Sign que permiten que las marcas corporativas y las cuentas de varias personas les deleguen algunos permisos de Twitter. «Twitter, y otras compañías de redes sociales, lo apoyan por varias razones, pero un caso de uso principal es porque eso es a menudo lo que algunos usuarios quieren», dice Ellis. «Por ejemplo, utilizo una aplicación que me permite programar tweets en el futuro, de modo que pueda» tweet en vivo «mis propias charlas», dice.

«En cierto sentido, este ataque tiene una pequeña similitud con los ataques de registradores DNS por los que el Ejército Electrónico Sirio period conocido donde un compromiso de una persona con información privilegiada, directa o mediante ingeniería social, puede causar un daño significativo al usar privilegios en el inside «, Dice Ellis.

Las empresas deben protegerse contra eso, tanto buscando reducir esos privilegios, como evaluando si introducir algún retraso o fricción en el caso de acciones de adquisición de cuentas como pueden haber sucedido aquí.

Insider malicioso?

Mientras tanto, el jueves tarjeta madre describió las adquisiciones de cuentas de Twitter como habilitadas por una persona con acceso de administrador a algún tipo de panel de regulate que permitió que las cuentas fueran esencialmente secuestradas. El medio dijo que había hablado con dos personas que presuntamente estuvieron involucradas en el incidente. El medio informó que una de las personas dijo que la información privilegiada «literalmente había hecho todo el trabajo por nosotros». El segundo le dijo a Motherboard que la información privilegiada fue pagada para proporcionar a los piratas informáticos acceso al panel de command. Motherboard dijo que había obtenido capturas de pantalla de la herramienta que permitía a los piratas informáticos cambiar la propiedad de algunas cuentas y permitía twittear la estafa de bitcoin.

Twitter no respondió directamente a una solicitud de Dim Examining para comentar el informe de Motherboard. Un portavoz simplemente confirmó que la investigación aún estaba en curso y dijo que la compañía estaba comprometida a compartir lo que encontrara. Pero en los comentarios a Motherboard, un portavoz de Twitter dijo que la compañía estaba investigando si un empleado había brindado a los piratas informáticos acceso a la herramienta o si habían sido diseñados por ingeniería social para hacerlo.

«El ataque en cuestión fue probablemente el resultado de una violación interna», dice Kevin O&#39Brien, CEO de GreatHorn. «La gama de cuentas comprometidas incluía muchas que tenían habilitado MFA, y el acceso rápido sugiere que las credenciales se cambiaron rápidamente o se accedió a ellas mediante herramientas administrativas internas».

O&#39Brien predice que la investigación de Twitter mostrará que este fue probablemente un ataque de varios pasos que involucró el phishing o el compromiso del correo electrónico comercial para obtener acceso inicial, después de lo cual usaron el acceso para ejecutar la estafa de bitcoin. «Ningún sistema es perfecto, pero es de esperar que Twitter study y mejore su seguridad, especialmente con respecto al vector de ataque inicial», dice O&#39Brien.

Múltiples preguntas

Morey Haber, CTO y CISO de BeyondTrust, señalaron varias otras cuestiones planteadas por el incidente. Entre ellos se encontraban preguntas sobre cómo Twitter podría haber protegido la herramienta que proporcionó acceso a la cuenta comprometida y por qué dicha herramienta incluso existía en primer lugar. El incidente también plantea preguntas sobre qué otro acceso tenían los atacantes, cómo van a proteger la herramienta en el futuro y si los actores de la amenaza ahora tienen la capacidad de usarla para futuros ataques, dijo Haber en un comunicado.

También es possible que el incidente de Twitter haga poco para calmar las preocupaciones sobre el mal uso de las plataformas de redes sociales con fines potencialmente mucho más dañinos.

«Dentro de la comunidad de seguridad, hay una discusión significativa en curso sobre si los tweets de bitcoin en sí mismos fueron un llamado ataque de &#39bandera falsa&#39», dice O&#39Brien. El hecho aparente de que los atacantes no utilizaron el acceso robado más allá de lo que finalmente fue una estafa de criptomonedas de aficionados es sospechoso, dice.

«Las preocupaciones incluyen si otros perfiles gubernamentales o comerciales de alto nivel se vieron comprometidos y si se robaron o intercambiaron mensajes directos e información confidencial mientras se producía simultáneamente la estafa mucho más pública de Bitcoin», dice. «La evidencia sigue siendo escasa, pero es probable que lleguen más a medida que se revelen los detalles».

Al menos un legislador ya ha expresado preocupaciones similares. en un letra a Dorsey Wednesday de Twitter, el senador Josh Hawley (R-MO) se preguntó si el ataque había amenazado la seguridad de la cuenta de Twitter del presidente Trump y la de otros cuyas cuentas podrían no haberse utilizado necesariamente en la estafa de Bitcoin.

«¿Este evento representó una violación de la seguridad de la cuenta propia de los usuarios o de los sistemas de Twitter?» Hawley preguntó. «¿Esta violación comprometió la seguridad de la cuenta de los usuarios cuyas cuentas no se utilizaron para compartir publicaciones fraudulentas? De ser así, ¿cuántas cuentas se vieron afectadas? ¿La seguridad de todas las cuentas se vio comprometida por esta violación?»

Hawley instó a Dorsey a ponerse en contacto inmediatamente con el FBI y el Departamento de Justicia de los EE. UU. Y obtener su ayuda para proteger Twitter contra ataques similares.

Contenido relacionado:

Regístrese ahora para el Black Hat Usa totalmente virtual de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio world-wide-web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia first