Tips
- Un hack de Twitter en julio de 2020 vio cómo se comprometían cuentas de alto perfil y se utilizaban para enviar tweets - promocionando una estafa de Bitcoin.
- Los hackers se llevaron 12 BTC (120.000 dólares) de víctimas desprevenidas.
- La seguridad de Twitter ha sido violada en varias ocasiones en el pasado.
Si la redacción un poco torpe no generó sospechas de un hack a Twitter, el repentino impulso de algunas de las personas más ricas del mundo de regalar Bitcoin debería haberlo hecho.
El 15 de julio de 2020, hackearon las cuentas de Twitter de individuos de alto perfil incluyendo a Jeff Bezos, Elon Musk y Mike Bloomberg, además de corporaciones como Apple y Uber y todos twittearon mensajes con una redacción casi idéntica: "Estoy contribuyendo con mi comunidad debido al COVID-19. Todos los Bitcoin enviados a mi dirección abajo serán devueltos por duplicado".
Tenía todas las características de una estafa bien coordinada, pero con un número combinado de seguidores que llegaba a los cientos de millones, la treta siempre iba a enganchar a unos pocos objetivos desprevenidos.
La wallet de Bitcoin de los estafadores recaudó 12 BTC (casi 120.000 dólares) antes de que Twitter pudiera poner en marcha medidas para detener la propagación del mensaje. Todas las cuentas verificadas con 'blue tick' fueron temporalmente impedidas de twittear, mientras que las que ya habían sido comprometidas fueron bloqueadas y los tweets ofensivos eliminados.
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Twitter Support (@TwitterSupport) July 16, 2020
Twitter calificó el incidente como un "ataque coordinado de ingeniería social" que tenía como objetivo a los empleados con acceso a "sistemas y herramientas internas". Es el ataque más significativo a Twitter desde que se lanzó en 2006, con el FBI y el Senado de los EE.UU. involucrados en la investigación.
Pero no es la primera vez que la red social ha sido víctima de los hackers...
1. @jack es hackeado en 2019
El CEO de Twitter, Jack Dorsey, no se vio afectado personalmente por el ataque de julio de 2020, pero su cuenta ha sido intervenida en el pasado. En agosto de 2019, un grupo que se hace llamar Chuckling Squad utilizó un ataque de intercambio de SIM, que le da al hacker acceso al número de teléfono de una persona. Los hackers tuitearon un engaño relacionado con una bomba, insultos raciales y otros mensajes ofensivos desde la cuenta de Dorsey. Un miembro del grupo fue posteriormente arrestado en noviembre de 2019.
We're aware that @jack was compromised and investigating what happened.
— Twitter Comms (@TwitterComms) August 30, 2019
No era la primera vez que el fundador de la compañía era un objetivo, tampoco. En 2016, un grupo llamado OurMine Security obtuvo acceso a su cuenta en Vine. De acuerdo con el grupo, este ataque menos malicioso tenía la intención de probar la seguridad de Twitter. Misión cumplida.
2. El hack de Crystal a Twitter
Tampoco es la primera vez que los propios empleados de Twitter han sido víctimas de un ataque. En 2009, un hacker estadounidense de 18 años logró acceder a los sistemas de administración de Twitter atacando a un miembro del personal de apoyo de la empresa, aunque no se dio cuenta hasta que logró acceder a su cuenta.
El objetivo, que va por el nombre de usuario @Crystal, había elegido una contraseña particularmente débil, y con Twitter no poniendo límite al número de intentos de acceso en un corto espacio de tiempo, el hacker simplemente usó una herramienta automatizada de adivinación de contraseñas para forzar su entrada. Entonces pudo restablecer las contraseñas de 33 cuentas de celebridades, incluyendo a Barack Obama y Britney Spears, permitiendo que otros miembros de la comunidad hacker tomaran el control.
3. Contraseñas de Twitter a la venta
En junio de 2016, los datos de acceso de casi 33 millones de cuentas de Twitter se pusieron a la venta en la deep web —pero la empresa se apresuró a asegurar a los usuarios que sus sistemas y servidores no habían sido realmente violados.
Según la empresa de seguridad LeakedSource, los hackers rusos utilizaron malware para robar nombres de usuario y contraseñas guardadas de una serie de redes sociales de los navegadores web de las personas. Con los inicios de sesión a menudo reciclados, Twitter cruzó su base de datos con los detalles filtrados y bloqueó cualquier cuenta que pareciera vulnerable. ¿La contraseña más común entre las robadas? 12345. ¿Quién necesita una filtración cuando tienes un sentido de la seguridad como ese?
4. "Todo es hackeable"
En la víspera del Super Bowl 2020, ganar el mayor premio de la NFL no era lo único que los Kansas City Chiefs y los San Francisco 49ers tenían en mente. Los dos equipos estaban entre los 15 equipos de la liga que tenían sus cuentas de Twitter hackeadas por nuestros viejos amigos de OurMine, incluyendo a los Green Bay Packers, los Chicago Bears y los New York Giants.
The twitter accounts for the @NFL, @Chiefs, @packers and @ChicagoBears got hacked. pic.twitter.com/7Ps2kINm4b
— Dov Kleiman (@NFL_DovKleiman) January 27, 2020
El grupo eliminó el perfil de cada equipo y la imagen del banner, y twitteó un mensaje con el objetivo de "mostrar a la gente que todo es hackeable". Cada una incluía la dirección de correo electrónico del grupo y una oferta para ayudar a mejorar la seguridad de la cuenta. Hemos oído hablar de hackers éticos antes, pero como un truco de marketing es difícil ver el éxito que este puede haber tenido.
5. Cuidado con el Croll
2009 no fue un buen año para el equipo de seguridad de Twitter. Poco después del incidente de Crystal, un francés llamado Hacker Croll utilizó varios trucos de recuperación de contraseñas para acceder a la cuenta de Gmail de un empleado de Twitter, lo que le permitió filtrar datos confidenciales relacionados con las finanzas de la empresa.
Desde allí pudo infiltrarse en las cuentas de correo electrónico de otros empleados, y finalmente irrumpir en el sistema de administración de Twitter, lo que significa que tenía acceso a información de cuentas privadas. Negó haber twitteado desde las cuentas de Barack Obama y Britney Spears, dos de las mismas que fueron atacadas durante el incidente de Crystal, y afirmó que no tenía la intención de hacer daño. "Espero que mi intervención se repita para mostrar lo fácil que puede ser para una persona malintencionada acceder a información sensible sin demasiado conocimiento", dijo a TechCrunch.
6. El hack de 250.000 cuentas de Twitter
Si bien el hack de julio de 2020 tenía como objetivo usuarios verificados de Twitter con un gran número de seguidores, sólo un número relativamente pequeño de cuentas fue realmente violado. En febrero de 2013, sin embargo, se cree que 250.000 cuentas de Twitter fueron comprometidas, con nombres de usuario, direcciones de correo electrónico y contraseñas potencialmente robadas.
Los inusuales patrones de acceso permitieron que Twitter detectara el ataque mientras aún estaba en proceso, pero no antes de que se hubiera accedido a un cuarto de millón de cuentas. "Este ataque no fue obra de aficionados", dijo el director de seguridad de la información de la compañía, Bob Lord, en un comunicado publicado posteriormente, mientras que los afectados tuvieron sus contraseñas restablecidas.