هک تاریخی در توییتر؛ واکنش کارشناسان امنیتی به این اتفاق

آخرین به‌روزرسانی: ۲۶ تیر ۱۳۹۹ | ۱۶:۲۷

چهارشنبه شب، هنگامی که حساب‌های شاخص توییتر شروع کردند به ارسال توییتی مبنی بر همکاری با یک وب‌سایت جعلی به‌نام «Crypto For Health» برای اهدای ۵,۰۰۰ بیت کوین، در توییتر غوغایی به پا شد.

به نقل از کوین دسک، ماجرا یک کلاهبرداری بود، اما عاملان این کلاهبرداری توانستند به بزرگ‌ترین حساب‌های توییتر، ازجمله پردنبال‌کننده‌ترین حساب توییتری در جهان، حساب باراک اوباما، رئیس‌جمهور سابق ایالات متحده، دست پیدا کنند.

متخصصان امنیت سایبری نظرات مختلفی در خصوص این هک ارائه کردند، اما همگی بر این باورند که مشکل از سمت صاحبان حساب‌های هک‌شده نبوده است. آنها معتقدند که این هک احتمالاً یا از سوی اپلیکیشن‌های شخص ثالثی که به حساب‌های توییتری افراد متصل شده‌اند بوده است و یا کارمندان این غول بزرگ رسانه اجتماعی در آن نقش دارند.

خود توییتر در یک اطلاعیه‌ بدون جزئیات خاصی گفته است علت هک «مهندسی اجتماعی هماهنگ‌شده» بوده است. حساب رسمی توییتر در رشته توییتی عنوان کرد که مهاجمان «برخی» از کارکنانش را که به برخی از ابزارهای داخلی شرکت دسترسی داشته‌اند، هدف قرار دادند و از این طریق کنترل حساب‌های کاربری شناخته‌شده را به دست گرفتند.

اریک کابتاس (Erik Cabetas)، یکی از اعضای هیئت مدیره شرکت اینکلود سکیوریتی (Include Security) طی مصاحبه‌ای اظهار داشت:

ریشه این جریان هر چه باشد، این هک گسترده به من نشان می‌دهد که این روش، نه شناخته‌شده است و نه حساب مشخصی را در نظر داشته، بلکه روشی جدید است و قربانیان متعددی را هدف قرار می‌دهد.

کابتاس و فرانس روزن (Frans Rosén)، یکی دیگر از متخصصان امنیت از شرکت اروپایی دیتکتیفای (Detectify)، به توییتی اشاره کردند که یکی از متخصصان امنیت سایبری نوشته است:

از آنجا که من امنیت حساب توییتری یکی از قربانیان این هک، آدریان لامو (Adrian Lamo)، را کنترل می‌کنم، نظراتی در این مورد دارم. هکرها یا به پیام کوتاه بازیابی رمزعبور دسترسی پیدا کرده‌اند و یا به نو‌عی آن را دور زده‌اند. هنگامی که حساب لامو هک شد، من کدی از طریق پیام کوتاه صوتی گوگل دریافت کردم. این حساب از روش امنیتی رمزعبور یک‌ بار مصرف (OTP) برای تأیید هویت دوعاملی (2FA) استفاده می‌کرد.

Twitter Breach Reactions: Security Professionals Offer an Early Assessment - CoinDesk

آدریان لامو روزنامه‌نگاری مشهور با ۱۶۳,۰۰۰ دنبال‌کننده است.

به‌عقیده جسی اروین (Jessy Irwin)، یکی دیگر از افراد حرفه‌ای در حوزه امنیت سایبری، راه‌های بسیاری برای هک کردن حساب‌های بزرگ وجود دارد. او توضیح داد:

روش‌های بسیاری برای یکپارچه‌سازی پروتکل OAuth وجود دارد، API‌هایی که به سرویس‌های شخص ثالث اجازه دسترسی به پلتفرم را می‌دهد و برخی از ویژگی‌های پیام کوتاه… توییتر اقداماتی جهت بهبود تأیید هویت و تأیید اعتبار انجام داده است. با این حال، اگر شما اَبَرکاربر باشید یا تیمی داشته باشید که برای شما پیام ارسال کنند، حفظ امنیت این سرویس کار بسیار دشواری است.

پرهام افتخاری، از سایبرسکیوریتی کولبوریتیو (Cybersecurity Collaborative) که فرومی برای متخصصان امنیت سایبری است، هشدار داد که تمام آنچه افراد حرفه‌ای در حوزه امنیت سایبری می‌گویند، صرفاً گمانه‌زنی است. مقیاس این حمله سایبری و واکنش ناامیدکننده توییتر نشان می‌دهد که این مشکل جدی است. توییتر در واکنش به این هک گسترده نوشت:

ما آگاه هستیم که یک مشکل امنیتی برای حساب‌های توییتری به وجود آمده است. در حال بررسی و انجام اقداماتی برای رفع این مشکل هستیم و در اسرع وقت، همه را مطلع خواهیم کرد.

بسیاری از افراد آشنا با حوزه امنیت در حال به‌اشتراک‌گذاری شایعاتی هستند مبنی بر اینکه این هک درواقع از سوی یکی از اعضای داخلی توییتر انجام شده است. اگر این مسئله صحت داشته باشد، تمام داده‌ها در خطر هستند.

ریچارد ما (Richard Ma)، بنیان‌گذار شرکت حسابرسی قراردادهای هوشمند کوآنت‌استمپ (Quantstamp)، طی مصاحبه‌ای اظهار داشت که تیم او باور دارند این حمله از درون اداره مرکزی توییتر در سانفرانسیسکو انجام شده است. ما توضیح داد:

بر اساس اطلاعاتی که تاکنون به دست آورده‌ایم، این نقص امنیتی از داخل توییتر ایجاد شده است. این هکر توانسته وارد توییتر شده و به کنترل مدیریت داخلی توییتر دست پیدا کند.

اروین اضافه کرد:

این یک هک احمقانه است. اما، باید توجه کنیم که انگیزه افراد برای هک‌کردن چیست. برخی هکرها دوست دارند به آتش‌کشیده‌شدن جهان را ببینند، دقیقاً به همین شکل. این هک ممکن است اقدامی باشد در جهت اینکه توییتر را احمق یا نالایق برای نقشی که در گفتمان اجتماعی دارد، نشان بدهند.

افتخاری نیز موافق این نظر بود و گفت باید در خاطر داشته باشیم که در سال جاری، انتخابات ریاست جمهوری ایالات متحده را پیش‌رو داریم و اینکه توییتر یک نهاد ارتباطی غیررسمی برای ایالات متحده محسوب می‌شود که می‌تواند برای کشورهای رقیب جذاب باشد.

او همچنین اشاره کرد که، با این همه، مبلغ کلاهبرداری (۱۲۰,۰۰۰ دلار تاکنون) اندک بوده است.

اروین گفت همکارانش در جامعه امنیت سایبری پیش از این متوجه شده بودند که دامنه‌های مورد استفاده مجرمان سایبری از آوریل (فروردین) فعال بوده‌اند. او گفت:

با توجه به این نکته، این هک ممکن است مشکلی شناخته‌شده یا نقطه‌ضعفی قدیمی باشد که پیش از این مطرح نشده بود.

یوناتان کلینشما (Yonathan Klijnsma)، محقق تهدیدها در زمینه امنیت سایبری از شرکت ریسک‌آی‌کیو (RiskIQ)، اظهار داشت که با اینکه هنوز مطمئن نیست، اما این احتمال وجود دارد که حساب یکی از اعضای تیم پشتیبانی توییتر هک شده و مورد سوءاستفاده قرار گرفته شده باشد. او توضیح داد:

اگرچه هنوز نمی‌دانیم که آیا علت این است یا خیر، ممکن است توضیحی برای هک‌شدن این تعداد حساب باشد. تیم پشتیبانی توییتر به کاربرانی که نمی‌توانند وارد حساب توییتری خود شوند (که امری معمول است)، کمک می‌کند تا اطلاعات خود را تأیید کرده و حساب‌های خود را بازیابی کنند. دسترسی به حساب یکی از اعضای این تیم می‌تواند منجر به هکی چنین گسترده و ظاهراً بی‌زحمت شود که امروز شاهدش بودیم.

کلینشما همچنین گفت که مقیاس هک انجام‌شده روی این حساب‌های توییتری با تعداد بسیاری دنبال‌کننده ظاهراً بسیار وسیع است. او توضیح داد:

اما شرکت ریسک‌آی‌کیو توانسته است بسیاری از زیرساخت‌هایی را که مجرمان در عملیات کلاهبرداری استفاده می‌کنند ردیابی کند. ما حدود ۴۰۰ دامنه را تاکنون شناسایی کرده‌ایم که همگی با این کلاهبرداری‌ها مرتبط هستند.

روزن تأکید کرد که در این مورد فقط می‌تواند حدس بزند اما خاطرنشان کرد که توییت‌ها از سوی «اپلیکیشن وب توییتر» ارسال شده‌اند و تیم پشتیبانی توییتر نیز اشاره کرده است که افراد ممکن است در تنظیمات حساب خود با مشکل روبه‌رو شوند.

به‌عقیده روزن این مسئله نشان می‌دهد که سرویس مورداستفاده برای ارسال تنظیمات رمز عبور به ‌نوعی هک شده است و جریانی ویژه به‌هنگام عوض‌کردن پسورد دسترسی به اپلیکیشن وب را ممکن کرده است.

به‌عقیده روزن، این یعنی هکر می‌تواند کاری بیش از ارسال توییت انجام دهد، مانند دستیابی به پیام‌های خصوصی. دن گایدو (Dan Guido) از تریل آف بیتس (Trail of Bits)، یکی از شرکت‌های مهم امنیتی در حوزه ارزهای دیجیتال، به مطلبی اشاره کرد که در خصوص یکی از حساب‌های ثانویه شرکت خود نوشته بود. در این مطلب او نوشته است:

توییتر هرگز در زمینه حفظ امنیت داده‌های خود خوب عمل نکرده است. در سال ۲۰۰۹، هنگامی که بک‌اِند توییتر هک شد (بسیار شبیه به امروز!)، کمیسیون فدرال تجارت (FTC) برای ۲۰ سال، توییتر را از هرگونه ادعایی در خصوص حفظ امنیت منع کرد.

ریچارد ما اظهار داشت این اتفاق می‌تواند اعتقاد به امنیت بالای ارزهای دیجیتال را افزایش دهد. او توضیح داد:

درمجموع، به‌نظر من، این حمله سایبری ایده محافظت شخصی از داده‌های خود را در جامعه ارزهای دیجیتال تقویت می‌کند. بسیاری از کاربران توییتر مطلع نیستند که به‌هنگام استفاده از یک پلتفرم شخص ثالث، درواقع کنترل کامل حساب‌های خود را با امتیازهای ویژه به‌دست این پلتفرم می‌سپارند.