چهار شنبه, جولای 15, توییتر شد هدف بسیار عمومی هک حمله که هنوز ارسال تکان سراسر اینترنت. در آنچه که در عمده نقض امنیتی برای این شرکت یک تعداد انگشت شماری از مهمترین و به دنبال حساب توییتر متعلق به برخی از جهان ثروتمندترین افراد و شرکت ها منتشر شده یک صدای جیر جیر درخواست پیروان برای ارسال بیت کوین با ادعای ارائه به دو برابر پول خود را در بازگشت.
معلوم بود هماهنگ حمله مهندسی اجتماعی در توییتر کارکنان اجازه داده است که عاملان دسترسی به شرکت پانل مدیریت. در حال حاضر FBI تحقیقات را آغاز کرده است.
فقط هکرها سوزاندن 0day مانند آن را آتش فروش
تصور کنید که گرفتن کلید به توییتر پادشاهی -- دسترسی به تمام حساب پانل مدیریت در جهان است. چه کار می کنید ؟ شما می توانید با شتاب بالا-ارزش حساب و فروش آنها در بازار سیاه است. شما می توانید از عصاره unimaginably ارزشمند باج گیری مواد از DMs. یا شاید شما می خواهم صبر کنید تا زمانی که یک رویداد مانند آینده ما انتخابات را به راه اندازی یک طرح شیطانی از برخی از نوع.
اما اگر شما هر نوع از چاشنی مهاجم شما نمی خواهد ضربه پوشش خود را با به tweeting از بزرگترین حساب -- برای یک بیت کوین اومدی. مطمئن شوید که برخی از آنها فرض شده که cryptocurrency دادن توییتهایی شد حواس پرتی برای چیزی بزرگتر در پس زمینه. شاید این حمله در حال حاضر خود را به اب زیر کاه مسائل و آماده برای انجام آنچه به نام "سوختن خود را 0day."
و آیا آنها را سوزاند که کاملا خوب 0day داغ, روشن و سریع است.
ما شناسایی چیزی که ما باور به یک هماهنگ حمله مهندسی اجتماعی توسط افرادی که با موفقیت هدفمند برخی از کارکنان با دسترسی به سیستم های داخلی و ابزار.
— پشتیبانی از توییتر (@TwitterSupport) ژوئیه 16 سال 2020
توییتر پاسخ — یک نگرانی در پنج ساعت بعد — بود که برای انجام کاری چند می دانستم که این شرکت تا به حال قدرت برای انجام: قفل هر حساب تایید شده در سراسر جهان است. متاسفانه این شبیه به کشف یک سارق است که در خانه خود را به خاطر آنها شروع به انفجار موسیقی در اتاق نشیمن خود را و پاسخ شما این است به نوبه خود تمام چراغ.
به جز انجماد آبی "چک" است که در واقع بدتر از آنجا که بسیاری از ضروری خدمات اورژانس در سراسر جهان با استفاده از توییتر به عنوان یک بحرانی در کانال های ارتباطی است. مانند خدمات ملی آب و هوا است که به طور ناگهانی در بر داشت خود را قادر به صدای جیر جیر آب و هوا هشدار.
حساب یخ به نظر می رسد به یک تصمیم حکومت وحشت. توییتر به نظر می رسید که هیچ ایده چه چیزی اتفاق می افتد و یا چگونه به آن را متوقف کند. و وای ما سوالی در مورد این که, چه, چرا, و در آینده پیامدهای آن است.
آبی چک در تلاش برای برقراری ارتباط از طریق رسانهها pic.twitter.com/FIbBmWH4j8
— اندرو راث (@RothTheReporter) 15 ژوئیه سال 2020
در یک صدای جیر جیر موضوع پست شده در طی و بعد از حمله هک توییتر نوشت: "ما شناسایی چیزی که ما باور به یک هماهنگ حمله مهندسی اجتماعی توسط افرادی که با موفقیت هدفمند برخی از کارکنان با دسترسی به سیستم های داخلی و ابزار."
این حساب تایید شده یخ نیز نهفته آن کاربران توانایی برای تنظیم مجدد رمز عبور خود را.
ما می دانیم که آنها با استفاده از این دسترسی به کنترل بسیاری از بسیار قابل مشاهده (از جمله تایید شده) حساب و صدای جیر جیر از طرف آنها. ما به دنبال به آنچه دیگر فعالیت های مخرب ممکن است آنها را به انجام و یا اطلاعات آنها ممکن است قابل دسترسی و به اشتراک گذاری بیشتر در اینجا به عنوان ما آن را داشته باشد.
— پشتیبانی از توییتر (@TwitterSupport) ژوئیه 16 سال 2020
توییتر در کروشه موضوع با یک نکته که بررسی آن است "ادامه دارد."
نگران نباشید غنی مشاهیر خوب خواهد بود
خطر حساب شامل جف بزوس, بیل گیتس, Elon Musk, Bill Gates, Barack Obama, سیب, Kanye West, جو بایدن, Uber, Mike Bloomberg, Floyd Mayweather, Wiz Khalifa, و دیگران. توییتر به روز رسانی مداوم آن حادثه و گزارش موضوع پشتیبانی از پنج شنبه شب به وزارت امور خارجه که 130 حساب بودند تحت تاثیر این حمله.
بر اساس آنچه ما می دانیم در حال حاضر ما معتقدیم حدود 130 حساب بودند هدف حمله مهاجمان در برخی از راه به عنوان بخشی از این حادثه. برای یک زیر مجموعه کوچک از این حساب مهاجمان قادر به دست آوردن کنترل حساب و سپس ارسال توییت از این حساب.
— پشتیبانی از توییتر (@TwitterSupport) 17 جولای سال 2020
مشکل این است که توییت نگاه عادی به هر کسی دنبال کنی یا Elon Musk که اساسا توییت کردن جان مک آفی به سبک دیوانه claptrap در به طور منظم و تعداد قابل توجهی از مردم که برای کلاهبرداری است. همانطور که ما در گزارش دیروز به مسافت مساوی در اطراف $118,000 و "در زمان نوشتن همه اما 114 دلار که $118,000 مسافت منتقل شده به سایر کیف پول."
که لاشی مقدار پول به ویژه هنگامی که با توجه به Glassdoor پایان پایین تر از آنچه که اکثر مهندسین در توییتر را $131,403 یک سال است. این نفوذ با تاثیر بالقوه شدید دامنه و یک مقدار جدی از آسیب.
شما می خواهم فرض کنیم حمله می خواستم بیش از آنچه در آن طول می کشد به خوردن و خواب در نقاط بد از سان فرانسیسکو. اما حتی اگر این حمله آغاز شد و با یک کمی متفاوت bitcoin کلاهبرداری مجرمان عمومی رفت بلافاصله تضمین آنها می توان یافت و تعطیل حق دور.
البته یک احتمال قوی این است که این حمله فقط واقعا بد در جرم و جنایت.
بسیاری از ناظران بلافاصله به عهده گرفت که این مشخصات بالا حساب باید lax استانداردهای امنیتی و یا نمی باید دو عامل را فعال کنید. با این حال رویترز گزارش داد که "چندین کاربر با دو فاکتور تأیید هویت — امنیتی روش است که کمک می کند تا جلوگیری از شکستن در تلاش — گفت: آنها ناتوان بودند به آن را متوقف کند."
مادربرد به دست آمده نظر ناشناس از منابع در توییتر که گفت حساب تصاحب انجام شد از طریق دسترسی به یک داخلی ابزار مدیریت حساب; معاون انتشار تصاویری از ابزار (در حالی که هر کسی در توییتر انتشار همین تصاویر رو قرار داده در توییتر زندان واقعی سریع).
اگر توییتر در تلاش بود برای جلوگیری از گسترش این تصاویر این است که اینترنت ، آنها به سرعت گسترش به اخبار سایت و انجمن ها. هک ممنوع screencaps نشان داد حضور "لیست سیاه" دکمه در حساب شخصی صفحات. در حال حاضر بسیاری می خواهند بدانند این است که شواهدی از shadowban و لیست سیاه ما را ببینید ؟
کاربران توییتر که کار در داخل و اطراف تمایلات جنسی انسان باید برای سال ساخته شده است یک مورد که آنها در حال "shadowbanned" توسط توییتر عمل خاموش کردن حساب با پنهان کردن آنها را در راه های مختلف. تنها به تازگی راست پردازان توطئه مشترک تصمیم گرفتند از shadowban مفهوم "بازی [سانسور] ب" را به نفع خود. در حال حاضر توییتر روبرو خواهد شد سوالات مستقیم آن تلاش کرده است برای جلوگیری از مواجهه با سر.
هنگامی که رسید و برای اظهار نظر در مورد "لیست سیاه" دکمه دیده می شود در صفحات حساب در توییتر به خطر بیافتد ابزار مدیریت Tthe شرکت سخنگو نیست به طور مستقیم آدرس در سوال است. به جای آنها گفت: از طریق ایمیل "پس از ماه جولای 2018 ما روشن ساخته است که ما نمی shadowban."
توییتر هرزه شامل یک boilerplate مثال توییتر سیاست در روند مطالب ورود و خروج محتوا newsworthiness روند موضوع هشتگ محرومیت سیاست و جستجوی قوانین و محدودیت.
یک منبع مختلف گفت: مادربرد گفته مصالحه توییتر کارمند پرداخت شده خود را برای مشارکت در پایین-اجاره بیت کوین طرح. "توییتر سخنگو گفت: مادربرد است که این شرکت هنوز در حال بررسی این که آیا کارمند ربوده حساب های خود و یا به هکرها دسترسی به ابزار" معاون نوشت.
معلوم داشتن غیر قابل تنظیم کارتون جنایت ارز و سیاست های انجام شده توسط سیاره اینترنتی, چت روم, تا به حال برخی به راحتی forseeable اشکالاتی
— مترجم (@مترجم) ژوئیه 16 سال 2020
پس از این ابزار اجازه مدیریت حساب این تایید اولیه حدس و گمان است که این حمله نه تنها توانایی تغییر ایمیل حساب و تنظیم مجدد کلمه عبور, اما آن را نیز اعطا آنها دسترسی به کامپیوتر کاربران پیام های مستقیم (DMs). که یک نفس مشکل با توجه به این که بسیاری از مردم — از جمله مشاهیر و سیاستمداران — نمی فهمم که توییتر DMs می کند پایان به پایان رمزگذاری و به خصوص امن.
سناتور Ed Markey (D-MA) خطاب دقیقا همان است که در بیانیه ای گفت توییتر باید به طور کامل فاش کردن آنچه اتفاق افتاده و آنچه در آن انجام شده است برای اطمینان از این هرگز دوباره اتفاق می افتد". این بود که در علاوه بر این به سناتور جاش هاولی (R-MO) شلیک کردن نامه ای عصبانی به جک دورسی و سناتور Ron Wyden (D-OR) با صدور بیانیه ای مشابه اضافه کردن "این است که یک آسیب پذیری که در رفته است بیش از حد طولانی است."
که یک نکته جالب برای اینکه اگر "آسیب پذیری" در سوال پرداخت کردن کارمند — آسیب پذیری بشر شد. این بدان معناست که حمله نیست لزوما به ویژگی های آن را به عنوان یک سرمایه شاهکار مهندسی اجتماعی. این به احتمال زیاد خواهد بود بجای حمله مهندسی اجتماعی که در آن انسان آسیب پذیری ارائه شده است چیزی در ازای دسترسی به اطلاعات و یا اعتبار مهاجم می خواهد.
این نیز محتمل است که مهاجم استفاده pretexting جایی که آنها تظاهر به یک فرد با یک مشروع نیاز برای دسترسی به, با تکیه بر قربانی اعتماد و ساده لوحی. ("من قسم می خورم من واقعا نیاز به سرور گنجه.") احتمال دیگر می تواند طعمه یا یک طعمه و سوئیچ است که در آن مهاجم ممکن است ترفند یک کارمند به قرار دادن مخرب چوب USB یا فایل به یک کامپیوتر به آن را سازش.
در حالی که این قطعا یک چشم برای توییتر چه ممکن است جالب تر برای کشف چیزی است که حمله به ما می گوید در مورد چه کسی بود و چرا. و این چیزی است که ما به احتمال زیاد پیدا کردن بر اساس من همکار عالی نقطه که بیت کوین در واقع ناشناس و پنهان کردن لوت تبدیل دنباله دار است و نه بی اهمیت. قطعا نه برای هکرها که تصمیم به چیزی می توانست دزدی قرن به یک دست و پا چلفتی بیت کوین سر و صدا و با شتاب -- و حتی ممنوعیت یک نازی ها در این فرآیند است.
در این مقاله: بیت کوین هک, کلاهبرداری, 0day, مهندسی اجتماعی, هک, توییتر, اخبار, دنده, سرگرمی, فردا
همه محصولات توصیه شده توسط Engadget انتخاب شده توسط تیم تحریریه مستقل از شرکت مادر. برخی از داستان های ما شامل لینک های وابسته. اگر شما خرید چیزی را از طریق یکی از این لینک ها ممکن است ما کسب یک کمیسیون های وابسته.