Gli account di Elon Musk, Obama, Apple e altri sono stati hackerati con l'aiuto di un dipendente di Twitter

Dopo gli attacchi, sono comparsi online gli screenshot di un tool interno a Twitter, che sarebbe stato usato proprio per compromettere gli account.
16 luglio 2020, 2:17pm
Twitter
IMMAGINE: CHRIS RATCLIFFE/BLOOMBERG VIA GETTY IMAGES 

Un impiegato di Twitter è responsabile della compromissione di diversi account di alto profilo sulla piattaforma avvenuta mercoledì, stando a una serie di screenshot ottenuti da Motherboard e due fonti che hanno preso parte all'hack.

Mercoledì, i profili di persone o aziende famose come il candidato democratico Joe Biden, Elon Musk, Bill gates, Barack Obama, Uber e Apple hanno twittato uno scam di criptovalute, in quella che è sembrata inizialmente un'operazione di hacking.

"Abbiamo usato una persona che ha fatto letteralmente tutto il lavoro al posto nostro," ha detto una delle fonti a Motherboard. La seconda fonte ha aggiunto che hanno pagato la persona interna a Twitter. Motherboard ha concesso l'anonimato alle fonti affinché parlassero nel modo più chiaro possibile dell'incidente. Un portavoce di Twitter ha detto a Motherboard che l'azienda sta ancora indagando sull'accaduto per capire se l'impiegato abbia agito personalmente o abbia dato accesso agli strumenti necessari per farlo agli hacker.

Gli account sono stati compromessi usando un tool interno di Twitter, stando alle fonti oltre che agli screenshot del tool stesso ottenuti da Motherboard. Uno degli screenshot mostra il panello e l'account di Binance—tra quelli interessati dall'operazione. Stando agli screenshot, almeno alcuni degli account sembrano essere stati compromessi modificando l'indirizzo email associato usando il tool interno.

In totale, quattro fonti vicine o interne alla comunità di hacking underground hanno fornito a Motherboard screenshot del tool. Due fonti hanno dichiarato che il pannello di Twitter è stato usato anche per modificare la proprietà di alcuni cosiddetti account OG—ovvero profili che hanno un handle fatto solo di uno o due caratteri—oltre che per facilitare la diffusione del messaggio di scam da profili di alto livello.

Twitter ha cancellato alcuni degli screenshot del pannello e ha sospeso gli utenti che li hanno divulgati, sostenendo che fossero in violazione delle regole della piattaforma.

Il pannello è un esempio lampante del problema che l'accesso a dati sensibili da parte dei dipendenti di un'azienda tech rappresenta. Mentre in altri casi gruppi di hacker hanno corrotto impiegati per poter sfruttare questi tool ai danni di utenti singoli, in questo caso l'accesso ha portato alla compromissione di un numero elevato di profili importanti sul social media, e alla diffusione di un messaggio di donazioni in bitcoin che era in realtà una truffa per generare introiti.

Gli screenshot mostrano dettagli dell'account di uno degli utenti presi di mira, come se sia stato sospeso o meno, se sia sospeso in via permanente, o se abbia uno status protetto.

Uno degli screenshot mostra un utente Twitter che pubblica lui stesso immagini del pannello. Al momento in cui questo articolo è stato scritto, l'account in questione è stato sospeso.

Uno degli screenshot del pannello. One of the screenshots of the panel. L'immagine è stata in parte redatta da Motherboard.

Il servizio di prevenzione e monitoraggio dei data breach Under The Breach ha ottenuto immagini simili e le ha divulgate, mentre gli hacker prendevano il controllo di diversi account. La persona che gestisce l'account di Under The Breach ha detto a Motherboard che Twitter ha rimosso il loro tweet contenente gli screenshot e che li ha sospesi per 12 ore. Un messaggio sostitutivo al tweet spiega che è stato rimosso perché violava le regole di Twitter.

Uno screenshot che mostra l'accesso tramite il pannello al profilo di Binance, uno degli account hackerati. Immagine: Motherboard.

Un portavoce di Twitter ha detto a Motherboard via email che, "Per regola, interveniamo su qualsiasi informazione privata o personale condivisa nei tweet."

In seguito, Twitter ha anche dichiarato in un tweet che "abbiamo individuato un presunto attacco coordinato di social engineering operato da persone che hanno preso di mira con successo alcuni dei nostri impiegati che hanno accesso a sistemi e strumenti interni."

Tra gli altri account compromessi ci sono anche quello del miliardario Mike Bloomberg e quelli delle piattaforme di criptovalute Coinbase e Gemini. Gli account hanno annunciato falsamente di aver lanciato una collaborazione con un'organizzazione chiamata CryptoForHealth, che sostiene di fornire alle persone bitcoin, purché ne inviino prima loro una certa somma al loro indirizzo.

Dopo poco il picco di attacchi, Twitter stesso ha twittato che gli utenti potrebbero avere difficoltà a reimpostare la password o a usare la piattaforma intanto che l'azienda risolve il problema.

Nel 2017, un impiegato di Twitter aveva cancellato l'account di Donald Trump, che è stato però riattivato in fretta.

In passato, due ex impiegati di Twitter avevano abusato a loro volta del livello di accesso necessario nel loro lavoro per spiare utenti per il regime saudita, stando al Dipartimento di Giustizia americano.

Tutte le aziende tech fanno i conti con impiegati malintenzionati o che abusano del proprio potere. Motherboard ha rivelato negli anni come alcuni impiegati di Facebook usino i propri privilegi di accesso ai dati utenti per stalkerare donne; come i dipendenti di Snapchat abbiano a disposizione un tool chiamato Snaplion che fornisce informazioni sugli utenti; e come persino gli impiegati di MySpace avessero abusato di un tool chiamato "Overlord" per spiare utenti quando il sito era ancora usato da tantissime persone nel mondo.