Re: [nexa] Three people just got charged for Twitter’s huge hack, and a Florida teen is in jail

Buongionro, potenza di Wikipedia, è già una voce bella completa: https://en.wikipedia.org/wiki/2020_Twitter_bitcoin_scam C'è praticamente tutto lo scibile noto su questa vicenda, che racconta in buona sostanza l'anatomia di una *banale* [1] infiltrazione (chiamarlo attacco informatico credo sia fuorviante [2]) per mezzo di social engineering. Il social enginnering è stato egregio, ma la frode è stata maldestramente eseguita, non sono certo dei professionisti del crimine. Non è ancora del tutto chiaro se nell'infiltrazione sia coinvolto un collaboratore di Twitter corrotto, ma allo stato attuale delle informazioni è ALTAMENTE IMPROBABILE visto che non ci sono collaboratori indagati (AFAIK), quindi si tratta di un *banale* phishing. Un buco di sicurezza da anni '90, che manco colossi come Twitter - con migliaia di operatori tra interni e contractors - sono ancora in grado di gestire... sono basito, ma se ci penso bene non dovrei esserlo visto che la formazione sulla sicurezza informatica è solo un bel proposito in *quasi* tutte le organizzazioni: è noiosa e genera solo costi, no? Mi domando se infiltrazioni meno eclatanti di questa - in generale, non con Twitter - siano e saranno passate sotto imbarazzato silenzio :-O Tra le curiosità emerse grazie a questo caso, c'è quella che l'account Twitter dell'attuale presidente USA avrebbe misure di sicurezza aggiuntive e segrete [3] ...tutto ciò evidenzia ancora una volta, se ce ne fosse bisogno, come con le identità digitali (solitamente username/password e codice di secondo livello) siamo messi MALE, ma proprio male male male. Per non parlare della concentrazione in un solo database centralizzato di informazioni e notizie importanti o potenzialmente dirompenti E facilmente manipolabili con una banale interfaccia da un operatore (non dal titolare dell'account): è normale?!? Io dico di no, sono un sistemista, so quello che dico :O In un caso del genere, chi è da condannare?!? Qualsiasi altro fornitore di servizi che subisse una tale compromissione di sicurezza (infiltrazione con accesso amministrativo ai dati) verrebbe letteralmente crocifisso in ordine da: clienti, garante privacy, media. I colossi IT sono un'eccezione, "too big to be blamed"? Giacomo Tesio <giacomo@tesio.it> writes: [...]

Continua https://www.theverge.com/2020/7/31/21349920/twitter-hack-arrest-florida-teen...

--8<---------------cut here---------------start------------->8--- [...] From the affidavit: To wit: Clark without authorization gain [sic] access to Twitter Inc.’s Customer Service Portal. Clark used social engineering to convince a Twitter employee that he was a co-worker in the IT department and had the employee provide credentials to access the customer service portal. [...] --8<---------------cut here---------------end--------------->8--- Le altre **key features** di questo buco di sicurezza sono: https://www.msn.com/en-in/news/other/twitter-was-hacked-using-employee-crede... --8<---------------cut here---------------start------------->8--- "The attackers successfully manipulated a small number of employees and used their credentials to access Twitter's internal systems, including getting through our two-factor protections," the company said in a blog post on the matter. --8<---------------cut here---------------end--------------->8--- https://www.bleepingcomputer.com/news/security/hackers-stole-twitter-employe... --8<---------------cut here---------------start------------->8--- Twitter says that it has "significantly" limited employees' access to its internal systems and support tools during the ongoing investigation and that it expects response times to some user reports and support needs to be slower until normal operations will be resumed. According to a Reuters report, over 1,000 Twitter contractors and employees had access to the company's internal tools before the attack. --8<---------------cut here---------------end--------------->8--- https://www.bloomberg.com/news/articles/2020-07-27/twitter-s-security-woes-i... --8<---------------cut here---------------start------------->8--- Twitter Inc. has struggled for years to police the growing number of employees and contractors who have the ability to reset users’ accounts and override their security settings, a problem that Chief Executive Officer Jack Dorsey and the board were warned about multiple times since 2015, according to former employees with knowledge of the company’s security operations. Twitter’s oversight over the 1,500 workers who reset accounts, review user breaches and respond to potential content violations for the service’s 186 million daily users have been a source of recurring concern, the employees said. [...] The controls were so porous that at one point in 2017 and 2018 some contractors made a kind of game out of creating bogus help-desk inquiries that allowed them to peek into celebrity accounts, including Beyonce’s, to track the stars’ personal data including their approximate locations gleaned from their devices’ IP addresses, two of the former employees said. --8<---------------cut here---------------end--------------->8--- Saluti, Giovanni. [1] https://en.wikipedia.org/wiki/Phishing#Spear_phishing [2] almeno quanto è offensivo chiamarlo hack e chiamare gli infiltrati hackers [3] https://web.archive.org/web/20200716223043/https://www.nytimes.com/2020/07/1... P.S.: il vero problema è che le persone non dovrebbero aver bisogno di sili centralizzati sotto il controllo di terzi per pubblicare le loro informazioni o per informarsi; in particolare: possibile che LE ISTITUZIONI non abbiano a disposizione un canale ufficiale dove "le elites" possano cinguettare le proprie elucubrazioni?!? Le prossime elezioni USA saranno determinate dai Tweets? La prossima guerra mondiale verrà dichiarata con un Tweet? -- Giovanni Biscuolo