Twitter çarşamba akşamı gerçekleşen korsan saldırısı ile ilgili birtakım bilgileri paylaştı. Bu saldırı sonucunda aralarında eski ABD Başkanı Barack Obama, ABD’de Demokrat Parti’nin başkan adayı Joe Biden ve Tesla CEO’su Elon Musk’ın hesaplarının da bulunduğu yüksek profilli hesapların kontrolleri ele geçirilmişti.
Destek hesabı üzerinden geçtiği bir dizi tweet ile konu hakkında bilgileri paylaşan Twitter, dahili sistemlerine korsanlarca sızıldığını kaydetti. Bu da saldırının, şirketin kendi bünyesinde kullanılan araçlara erişim ve çalışan izinlerine sahip olunmadan gerçekleştirilemeyeceğine yönelik teorileri destekliyor.
Paylaşılan ilk tweet “İç sistemlere ve araçlara erişimi olan bazı çalışanlarımızı başarıyla hedefleyen kişilerin koordineli bir sosyal mühendislik saldırısı olduğuna inandığımız bir saldırıyı tespit ettik.” şeklinde Türkçeleştirebileceğimiz bir ifade içeriyor. “Bu erişimi kendi adlarına, yüksek düzeyde görünür (doğrulanmış olanlar dahil) hesapları ele geçirmek ve ve onlar adına tweetlemek için kullandıklarını biliyoruz.”
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Support (@Support) July 16, 2020
Görünüşe göre Twitter, sadece bir kişinin değil, birden fazla kişinin bu saldırılarla ilişkili olduğunu düşünüyor. Aynı zamanda birden fazla çalışanın da kötüye kullanıldığını ekliyor.
Twitter, saldırganların hangi araçları kullandığını veya saldırının tam olarak nasıl gerçekleştirildiği hakkında bir bilgi vermiyor. Ancak Motherboard tarafından verilen habere göre, çeşitli yer altı korsan grupları hesap kontrollerini ele geçirmek için kullanılan bir dahili şirket yönetim aracına ait ekran görüntülerini paylaştı. Hesapların kontrollerinin alımı sırasında e-posta hesaplarının sıfırlanması ve daha sonra şifrelerin yeniden oluşturulmasının kullanıldığı görülüyor.
we spoke to two hackers and we were able to independently verify they were in control of hijacked accounts today. One of them said they paid the Twitter employee to help them take over accounts; not sure on the specifics here at the moment
— Jason Koebler (@jason_koebler) July 16, 2020
Ayrıca Motherboard, saldırıyla ilgili araştırmalarıyla ilgili olarak yaptığı güncellemede, bir Twitter çalışanına popüler hesapların e-posta adreslerini dahili aracı kullanarak değiştirmesi için para veren korsanlarla konuştuğunu kaydetti. Bu sayede hesapların kontrolünün korsanlar tarafından ele geçirilmesi mümkün olmuş.
Buna ek olarak Motherboard, saldırının merkezinde yer alan dahili araca ait bazı ekran görüntülerini de paylaştı. Aşağıda yer alan ekran görüntüsünde hassas hesap bilgileri Motherboard tarafından kapatılmış. Twitter bu ekran görüntülerini paylaşan hesapları kurallarını ihlâl ettiği gerekçesiyle sosyal ağdan kaldırıyor.
Saldırının iddia edilen bu yöntemle gerçekleştirilip gerçekleştirilmediği tam olarak bilinmiyor, Twitter bu konuda resmi bir açıklama yapmadı. Ancak yüksek profilli Twitter hesaplarının kontrollerinin neredeyse aynı anda gerçekleştirilen bir saldırıyla ele alınması saldırganların tek tek hesap sahipleriyle uğraşmadığını, en azından çalışanların araçlarına erişebildiğini gösteriyor.
This was disruptive, but it was an important step to reduce risk. Most functionality has been restored but we may take further actions and will update you if we do.
— Support (@Support) July 16, 2020
Twitter, şu anda başka ne tür kötü amaçlı faaliyetlerin gerçekleştirilmiş olabileceğini veya erişmiş olabilecekleri bilgileri araştırıyor. Daha fazla bilgiyi elde ettiğinde de bunu paylaşacağının sözünü verdi. Teorik olarak saldırganların doğrudan mesajlara erişmiş olması da söz konusu olabilir.
Hesapların kontrollerinin ele geçirilmesinin temel amacı bitcoin dolandırıcılığı yapmak ve bu çaba da amacına ulaşmış gibi görünüyor. Blok zinciri kayıtları tweetlerde listelenen cüzdanlara toplamda 120 bin dolar seviyesinde bitcoin aktarımı yapıldığını gösteriyor.
Bununla birlikte Twitter’ın da dikkat çektiği gibi, saldırıların arkasında kripto dolandırıcılığının ötesinde emeller de olabilir. Politik kişilerin veya işletme hesaplarının direkt mesajlar üzerinden paylaştıkları hassas bilgiler bulunabilir ve bu bilgiler de kötü niyetli kişilerin eline geçmiş olabilir.
Twitter bundan sonra şirket içi güvenlik prosedürleri ve koruma yöntemleri konusunda yoğun bir eleştiriye ve sorgulamaya tutulacak. Şirketin buna benzer olayların bir daha yaşanmaması veya gelecekte daha büyük felaketlere yol açılmaması için alacağı önlemler de yakından takip edilecek. Aynı zamanda Twitter bu yaşanan sorunlardan dolayı idari kuruluşların sorgulamalarına ve araştırmalarına da maruz kalabilir.
Twitter bir kez daha olayın farkına vardığında etkilenen hesapları kilitlediğini ve korsanların paylaştığı tweetleri sildiğini kaydetti. Ayrıca kısa bir süre için doğrulanmış hesapların yeni tweet göndermelerine sınırlama getirdi. Şirket paylaştığı bir tweetinde “Bu yıkıcıydı, ancak riski azaltmak için önemli bir adımdı. Çoğu işlevsellik geri yüklendi, ancak başka işlemler de yapabiliriz ve yaparsak size bilgi vereceğiz.” ifadesini kullandı. “Güvenliği ihlal edilmiş hesapları kilitledik ve yalnızca güvenli bir şekilde yapabileceğimizden emin olduğumuzda orijinal hesap sahibine erişimi geri vereceğiz.” Ayrıca Twitter, dahili sistemlere ve araçlara içeriden erişimi de araştırmanın sürdüğü zaman boyunca kısıtlamak için gerekli adımların atıldığı bilgisini de verdi.
Teknoblog’u X, Flipboard, Google Haberler ve Instagram‘da takip et!
