Three people just got charged for Twitter’s huge hack, and a Florida teen is in jail
Early this morning, the FBI, IRS, US Secret Service, and Florida law enforcement placed a 17-year-old in Tampa, Florida, under arrest — accusing him of being the “mastermind” behind the biggest security and privacy breach in Twitter’s history... “This was not an ordinary 17-year old,” said the state attorney... “This could have had a massive, massive amount of money stolen from people, it could have destabilized financial markets within America and across the globe; because he had access to powerful politicians’ Twitter accounts, he could have undermined politics as well as international diplomacy,” [...] “This is not a game... these are serious crimes with serious consequences, and if you think you can rip people off online and get away with it, you’ll be in for a rude awakening, a rude awakening that comes in the form of a 6 AM knock on your door from federal agents,” he added later. Continua https://www.theverge.com/2020/7/31/21349920/twitter-hack-arrest-florida-teen... Per la serie: "GUARDA MAMMA: IL RE E' NUDO ! ! !" "Impiccate quel bambino." Giacomo
"Damn kids. They're all alike." http://phrack.org/issues/7/3.html http://download.2600.com/mediadownload/h2k2.hope.net/media/mentor.mp3 https://www.invidio.us/watch?v=0tEnnvZbYek (usa googlevideo) Giacomo
Buongionro, potenza di Wikipedia, è già una voce bella completa: https://en.wikipedia.org/wiki/2020_Twitter_bitcoin_scam C'è praticamente tutto lo scibile noto su questa vicenda, che racconta in buona sostanza l'anatomia di una *banale* [1] infiltrazione (chiamarlo attacco informatico credo sia fuorviante [2]) per mezzo di social engineering. Il social enginnering è stato egregio, ma la frode è stata maldestramente eseguita, non sono certo dei professionisti del crimine. Non è ancora del tutto chiaro se nell'infiltrazione sia coinvolto un collaboratore di Twitter corrotto, ma allo stato attuale delle informazioni è ALTAMENTE IMPROBABILE visto che non ci sono collaboratori indagati (AFAIK), quindi si tratta di un *banale* phishing. Un buco di sicurezza da anni '90, che manco colossi come Twitter - con migliaia di operatori tra interni e contractors - sono ancora in grado di gestire... sono basito, ma se ci penso bene non dovrei esserlo visto che la formazione sulla sicurezza informatica è solo un bel proposito in *quasi* tutte le organizzazioni: è noiosa e genera solo costi, no? Mi domando se infiltrazioni meno eclatanti di questa - in generale, non con Twitter - siano e saranno passate sotto imbarazzato silenzio :-O Tra le curiosità emerse grazie a questo caso, c'è quella che l'account Twitter dell'attuale presidente USA avrebbe misure di sicurezza aggiuntive e segrete [3] ...tutto ciò evidenzia ancora una volta, se ce ne fosse bisogno, come con le identità digitali (solitamente username/password e codice di secondo livello) siamo messi MALE, ma proprio male male male. Per non parlare della concentrazione in un solo database centralizzato di informazioni e notizie importanti o potenzialmente dirompenti E facilmente manipolabili con una banale interfaccia da un operatore (non dal titolare dell'account): è normale?!? Io dico di no, sono un sistemista, so quello che dico :O In un caso del genere, chi è da condannare?!? Qualsiasi altro fornitore di servizi che subisse una tale compromissione di sicurezza (infiltrazione con accesso amministrativo ai dati) verrebbe letteralmente crocifisso in ordine da: clienti, garante privacy, media. I colossi IT sono un'eccezione, "too big to be blamed"? Giacomo Tesio <giacomo@tesio.it> writes: [...]
Continua https://www.theverge.com/2020/7/31/21349920/twitter-hack-arrest-florida-teen...
--8<---------------cut here---------------start------------->8--- [...] From the affidavit: To wit: Clark without authorization gain [sic] access to Twitter Inc.’s Customer Service Portal. Clark used social engineering to convince a Twitter employee that he was a co-worker in the IT department and had the employee provide credentials to access the customer service portal. [...] --8<---------------cut here---------------end--------------->8--- Le altre **key features** di questo buco di sicurezza sono: https://www.msn.com/en-in/news/other/twitter-was-hacked-using-employee-crede... --8<---------------cut here---------------start------------->8--- "The attackers successfully manipulated a small number of employees and used their credentials to access Twitter's internal systems, including getting through our two-factor protections," the company said in a blog post on the matter. --8<---------------cut here---------------end--------------->8--- https://www.bleepingcomputer.com/news/security/hackers-stole-twitter-employe... --8<---------------cut here---------------start------------->8--- Twitter says that it has "significantly" limited employees' access to its internal systems and support tools during the ongoing investigation and that it expects response times to some user reports and support needs to be slower until normal operations will be resumed. According to a Reuters report, over 1,000 Twitter contractors and employees had access to the company's internal tools before the attack. --8<---------------cut here---------------end--------------->8--- https://www.bloomberg.com/news/articles/2020-07-27/twitter-s-security-woes-i... --8<---------------cut here---------------start------------->8--- Twitter Inc. has struggled for years to police the growing number of employees and contractors who have the ability to reset users’ accounts and override their security settings, a problem that Chief Executive Officer Jack Dorsey and the board were warned about multiple times since 2015, according to former employees with knowledge of the company’s security operations. Twitter’s oversight over the 1,500 workers who reset accounts, review user breaches and respond to potential content violations for the service’s 186 million daily users have been a source of recurring concern, the employees said. [...] The controls were so porous that at one point in 2017 and 2018 some contractors made a kind of game out of creating bogus help-desk inquiries that allowed them to peek into celebrity accounts, including Beyonce’s, to track the stars’ personal data including their approximate locations gleaned from their devices’ IP addresses, two of the former employees said. --8<---------------cut here---------------end--------------->8--- Saluti, Giovanni. [1] https://en.wikipedia.org/wiki/Phishing#Spear_phishing [2] almeno quanto è offensivo chiamarlo hack e chiamare gli infiltrati hackers [3] https://web.archive.org/web/20200716223043/https://www.nytimes.com/2020/07/1... P.S.: il vero problema è che le persone non dovrebbero aver bisogno di sili centralizzati sotto il controllo di terzi per pubblicare le loro informazioni o per informarsi; in particolare: possibile che LE ISTITUZIONI non abbiano a disposizione un canale ufficiale dove "le elites" possano cinguettare le proprie elucubrazioni?!? Le prossime elezioni USA saranno determinate dai Tweets? La prossima guerra mondiale verrà dichiarata con un Tweet? -- Giovanni Biscuolo
Ti ringrazio per la ottima rassegna (come sempre). Per la maggioranza del pianeta, più che "too big to blame" direi "too far to persecute", o più semplicemente "Americani". Per gli Stati Uniti invece è semplice "business as usual". "It’s Easier To Ask Forgiveness Than To Get Permission", direbbero. Non condivido invece questa nota: Il August 7, 2020 9:12:24 AM UTC, Giovanni Biscuolo <giovanni@biscuolo.net> ha scritto:
[2] almeno quanto è offensivo chiamarlo hack e chiamare gli infiltrati hackers
Io non lo trovo offensivo. Al di là delle competenze tecniche impiegate, ciò che distingue l'hack da una truffa cibernetica è il movente dell'hacker, ovvero acquisire e diffondere conoscenza. Ora, in questo caso, si è trattato di un hack o no? Gli hacker hanno semplicemente ignorato i tabù cui era affidata la sicurezza di un sistema. Il fatto che tali tabù riguardassero elaboratori biologici (gli impiegati) invece che elettronici (i computer) è del tutto irrilevante. Ignorando questi tabù, hanno avuto accesso ad informazioni che erano pubbliche, perché ogni informazione che è disponibile a chiunque possieda informazioni pubbliche è pubblica essa stessa. In questo caso, attraverso informazioni pubbliche (come condurre un social engineering), gli hacker hanno ottenuto informazioni che Twitter credeva private (le credenziali di accesso), ma che erano in effetti pubbliche perché accessibili attraverso informazioni pubbliche. Se avessero utilizzato uno zero day, potremmo ragionare sulla peculiarità del tabù che lo zero day costituisce, ma in questo caso no: le credenziali in questione erano accessibili a chiunque sapesse come accedervi. Tant'è che dei ragazzini le hanno usate. A questo punto, per capire se si tratta di un hack vero e proprio o di un gretto attacco finalizzato a tirar su qualche soldo, dobbiamo chiederci: 1) a che domande volevano rispondere gli hacker? 2) abbiamo imparato qualcosa dall'attacco? Infatti, l'hack è un atto creativo di Curiosità e sottende sempre almeno una domanda cui l'hacker vuole dare una risposta chiara, inequivocabile e possibilmente definitiva. La prima domanda cui questo hack risponde, la più evidente, è: - quanto sono sicuri i colossi della Silicon Valley? Ma potremmo riformularla in questo modo: - dei ragazzini possono scatenare la terza guerra mondiale? - dei ragazzini possono scrivere su Twitter al posto di capi di stato, giornalisti o politici? - dei ragazzini possono ridicolizzare una delle più grandi aziende Americane del pianeta? Ora questi hacker avrebbero potuto usare le credenziali che avevano ottenuto per anni, senza farsi notare, come hanno fatto tutti quelli che li hanno preceduti. (perché chiunque crede davvero che questo sia stato un incidente isolato, verificatosi per la prima volta, è uno sciocco ignorante) Ma in quanto hacker hanno deciso, secondo i propri valori, di condividere questa conoscenza, nel modo più giocoso e plateale possibile, in modo che raggiungesse tutti e non potesse poi essere inquinata da dichiarazioni opposte di Twitter. Hanno dunque fatto una VERA Responsible Disclosure! Hanno informato TUTTI dell'enorme problema che la ignoranza^W cieca fiducia nei colossi della Silicon Valley costituisce. E mentre che c'erano, come ciliegina sulla torta, si saranno chiesti: quanto capiscono di informatica le vittime di Bitcoin? E hanno risposto anche a questa domanda. Ora, sono d'accordo che la risposta alla seconda domanda era piuttosto scontata, nota a tutti gli informatici competenti, ma loro l'hanno dimostrato a TUTTI in modo chiaro ed inequivocabile. Quanto alla prima domanda, in Italia potremmo FORSE parlare di abuso della credulità popolare, ma questo hack ha dimostrato fini molto nobili: - svelare la fragilità dei sistemi cibernetici americani - svelare l'ignoranza diffusa di chi gli affida informazioni sensibili - rompere PUBBLICAMENTE un tabù, svelando ciò che altri facevano già in segreto Dunque dall'esterno il comportamento di questi hacker è stato estremamente etico: hanno arricchito rapidamente le conoscenze dell'umanità. E l'hanno fatto da veri hacker, scatenando tutta una serie di altre domande che meritano risposte urgenti ed importanti. Peccato che pochissimi le colgano. Da hacker, io li riconosco come miei pari. E trovo offensivo che li si sminuisca o criminalizzi Dovremmo premiarli, non punirli. Hanno mostrato che il re è nudo E che il popolo è credulone. Preferite i criminali che li hanno preceduti? Giacomo PS: a causa di alcuni problemi tecnici, alcune mie email potrebbero non essere giunte alla mailing list, o essere giunte duplicate. Ad esempio questa è l'email cui ha risposto Giovanni qui https://server-nexa.polito.it/pipermail/nexa/2020-August/018424.html
participants (2)
-
Giacomo Tesio -
Giovanni Biscuolo