De aanvallers die in juli toegang tot de systemen van Twitter kregen en tientallen geverifieerde accounts overnamen wisten de benodigde inloggegevens te stelen door zich voor te doen als helpdeskmedewerker die over vpn-problemen belde. Dat blijkt uit onderzoek van het New York State Department of Financial Services (DFS).
De aanval begon tegen het einde van de middag op 14 juli. Eén of meerdere van de aanvallers belden verschillende Twitterwerknemers en deden zich voor als helpdeskmedewerker. De aanvallers beweerden dat ze reageerden op een melding van de werknemer over een probleem met het vpn van Twitter. Volgens de DFS waren vpn-problemen, nadat het bedrijf vanwege de coronacrisis overstapte op thuiswerken, gemeengoed.
De zogenaamde helpdeskmedewerker vroeg de Twitterwerknemers om vervolgens naar een phishingsite te gaan, die identiek was aan de legitieme vpn-site van Twitter. Terwijl de werknemers hun inloggegevens op de phishingsite invoerden, werden die door de aanvallers gelijktijdig op de echte Twitter-site ingevoerd. Deze inlogpoging genereerde een multifactorauthenticatie-melding waarin de echte werknemers werd gevraagd om zich te authenticeren. Iets wat door een aantal werknemers ook werd gedaan, zo blijkt uit het onderzoek van het DFS.
De onderzoekers van het DFS hebben geen bewijs gevonden dat de Twitterwerknemers de aanvallers opzettelijk hebben geholpen. De aanvallers bleken persoonlijke informatie over de werknemers te hebben gebruikt om hen te overtuigen dat ze een legitieme helpdeskmedewerker waren en konden worden vertrouwd. Sommige van de medewerkers belden het fraudeteam van Twitter, maar tenminste één werknemer vertrouwde de aanvallers.
Twitter beheert verschillende tools waarmee medewerkers bijvoorbeeld e-mailadressen van accounts kunnen aanpassen of de tweefactorauthenticatie kunnen uitschakelen. Het eerste account dat de aanvallers overnamen had geen toegang tot deze interne tools. De aanvallers gebruikten dit account om de interne websites van Twitter te verkennen en meer te leren over de systemen van de microbloggingdienst. Zo werd er onder andere gekeken naar intranetsites met informatie over het inloggen op andere interne applicaties.
Op 15 juli besloten de aanvallers zich te richten op werknemers die wel toegang tot de interne tools van het bedrijf hadden. Een aantal van deze medewerkers was van de afdeling die verantwoordelijk is voor juridische verzoeken, zoals gerechtelijke bevelen of verzoeken om content te verwijderen, alsmede het ontwikkelen en handhaven van beleid om online misbruik tegen te gaan.
Met de informatie die de aanvallers van deze medewerkers wisten te verkrijgen konden ze op de interne Twitter-tools inloggen. Vervolgens werd het e-mailadres van tientallen accounts aangepast en de tweefactorauthenticatie uitgeschakeld. Dit maakte het mogelijk om een wachtwoordreset uit te voeren die naar het nieuw opgegeven e-mailadres ging.
Het DFS stelt dat de aanvallers voor hun social engineering gebruikmaakten van basale informatie over Twitter en diens medewerkers. Zo deden de aanvallers onderzoek naar de taken en titels van Twitterwerknemers, zodat ze zich beter als de helpdesk konden voordoen. Ook informatie die werknemers zelf aan de aanvallers verstrekten heeft hierbij geholpen.
"De hack van Twitter is een waarschuwing over de buitengewone schade die zelfs ongeraffineerde cybercriminelen kunnen veroorzaken. Het succes van de hack was grotendeels te danken aan zwakke interne cybersecurityprotocollen van Twitter", stelt het DFS. Volgens de onderzoekers begonnen de problemen aan de top. Zo was er sinds december 2019 geen chief information security officer (CISO). Eem rol die inmiddels wel is vervuld.
Inmiddels heeft Twitter ook de multifactorauthenticatie verbeterd en het personeel aanvullend getraind over cybersecurity. "Maar de gevolgen van de Twitter-hack laten zien waarom het belangrijk is voor Twitter en andere socialmediabedrijven om robuuste controls te implementeren voordat ze met een cyberincident te maken krijgen, niet erna", laat het DFS verder weten.
Net zoals er toezicht is op vitale sectoren moet er ook publiek toezicht op social media komen, zo pleiten de onderzoekers. Daarbij zien zij vooral een voorbeeld in de regels die voor banken gelden en het toezicht dat daarop wordt gehouden. Op dit moment is er nog geen aparte toezichthouder voor socialmediabedrijven. Iets dat volgens het DFS moet veranderen.
"De Twitter-hack toont meer dan ooit het risico voor de samenleving wanneer systeemkritische instellingen zichzelf reguleren. Het beschermen van social media tegen misbruik is cruciaal voor ons allemaal: consumenten, kiezers, overheid en industrie. De tijd voor overheidsoptreden is nu", zo luidt de conclusie van het onderzoeksrapport.
Deze posting is gelocked. Reageren is niet meer mogelijk.