Předminulá středa byla pro sociální síť Twitter krušným dnem. Stala se terčem největšího hackerského útoku ve své historii a podvodným tweetům byly vystaveny jedny z nejprominentnějších účtů na síti. Přes Elona Muska, Jeffa Bezose či amerického prezidentského kandidáta Joea Bidena se útočníkům podařilo vylákat zhruba 13 bitcoinů.

V přepočtu podle aktuálního kurzu se tak útočníkům podařilo podvodnými převody získat zhruba 2,7 milionu korun. Další miliony byly zablokovány jen díky včasné reakci kryptoměnové směnárny Coinbase. Postupně se však ukazuje, že za útokem nestojí žádné těžké hackování, ale spíše prostá lidská chyba.

Twitter později přiznal, že útočníci byli schopni zresetovat heslo u 45 účtů, u 36 z nich se dostali i k soukromým zprávám, a to včetně jednoho zvoleného nizozemského politika. Případ začala vyšetřovat také FBI a investigace deníku The New York Times ukázala, že za útokem pravděpodobně nestojí žádní zkušení hackeři.

Český vývojář a expert na internetovou bezpečnost Michal Špaček tak v rozhovoru pro CzechCrunch klidní vášně, které se okolo útoku za poslední týden vynořily. Tvrdí, že z technického pohledu v podstatě na hacku nebylo tolik zajímavého a Twitter by neměl být za svou chybu pranýřován.

Aktualizace: V pátek Twitter zveřejnil další informace týkající se útoku. V aktualizovaném vyjádření tvrdí, že útočníci ho hack provedli přes takzvaný spear phishing, tedy podvodem získali přihlašovací údaje u konkrétně vytipovaných jedinců. Deník The New York Times přišel ve stejný den se zprávou, že policie zatkla jako hlanvího podezřelého z hackeru sedmnáctiletého mladíka z Floridy.

Michale, co je na současném útoku tak zvláštní, například oproti podobným případům z minulosti?
Několik věcí, ale v první řadě jeho rozsah. Stává se poměrně často, že někdo hackne účet větší či menší osobnosti, ale toto byl útok na Twitter jako platformu a tím pádem se i násobně zvětšovaly možnosti, které útočníci měli. Zadruhé pak jeho provedení. Nebyl to žádný sofistikovaný útok, jak naznačovala některá média. Snažím se lidi učit, že k hackování někdy stačí docela jednoduché nástroje, a vypadá to, že takové nástroje stačily i v tomto případě.

Co je k takovému útoku potřeba? Jde ho udělat zcela zvenčí, bez pomoci někoho „zevnitř?“
Asi by to šlo i zvenčí, ale nejspíš by byl takový hack hodně náročný. Znamenalo by to zjišťovat, jak přesně daná firma funguje, a podobně. Ale pokud útočníci mají insidera, je to pro ně o dost jednodušší.

Jakou roli takový insider mohl v útoku mít?
Záleží, kdo přesně ve firmě to je a jak má firma dané procesy nastavené. Už třeba jen řadový pracovník zákaznické podpory má v Twitteru patrně možnost dělat spousty základních požadavků s účty. A on se může „omylem“ někde ukliknout, změnit e-mail určitému účtu. Útočníkům v podstatě umožňuje, jako by se sami zaměstnali v Twitteru.

Způsob, kterým byl hack provedený, Twitter označil jako social engineering. Co to znamená v praxi?
V případě hacku Twitter to zatím úplně přesně nevíme, protože pod tento pojem se skryje spousta věcí. Magazín Vice nejdříve vyšel se zprávou, že útočníci si jednoduše insidera v Twitteru zaplatili. Na The New York Times následně vyšla informace o jakémsi Kirkovi, který měl mít přístup do firemního Slacku, kde byly přihlašovací údaje do administrátorského systému.

Pod social engineering by se daly zařadit obě verze. Typicky je to ale například podvod ve stylu falešného e-mailu, tvářící se jako od šéfa a nakazující danému pracovníkovi, že má například změnit adresu konkrétnímu účtu, nebo jakkoliv jinak manipulující. Na každého člověka funguje něco jiného.

Takže na takový útok musí být hacker i trochu psycholog.
V podstatě ano, každá dovednost navíc se hodí, někdy je to ale docela jednoduché. Jsou třeba popsané případy s vyměňováním SIM karet jako způsobu, jak někomu unést telefonní číslo, a tím se dostat například přes dvoufázové ověření. Prý stačilo například na Instagramu najít zaměstnance operátora a tomu napsat „Čau, chceš si vydělat nějaké peníze?“. Ten následně přeřadil číslo od skutečného majitele k SIM kartě podvodníka.

To recap:
?130 total accounts targeted by attackers
?45 accounts had Tweets sent by attackers
?36 accounts had the DM inbox accessed
?8 accounts had an archive of “Your Twitter Data” downloaded, none of these are Verified

— Twitter Support (@TwitterSupport) July 23, 2020

Jinými slovy tedy v tuto chvíli nemůžeme říct, jak přesně útok na Twitter probíhal?
Je to tak, víme, jen, že to byl phishing mířený na konkrétní jedince. Jak to přesně bylo, ví jen Twitter. Tedy snad už to ví. Je potřeba si uvědomit, že dosavadní informace o tom, jak útok probíhal, pocházejí hla ně od útočníků a ti se někdy rádi vytahují a kecají. Pokud bychom brali v potaz verzi onoho Kirka, tak se třeba nedovíme, jak se dostal na firemní Slack. To mě osobně hodně zajímá, protože to už je počáteční problém celého zabezpečení.

Na útoku byl také zajímavý detail, že u 45 účtů se útočníkům povedlo i změnit heslo. Jak se to stalo?
Dostáváme se opět k nástrojům, které mají pracovníci zákaznické podpory k dispozici. S velkou pravděpodobností jednoduše mají nástroj na to, aby mohli vypnout dvoufázové ověření, a tím pádem usnadnit změnu hesla pomocí odeslání odkazu na reset zapomenutého hesla na změněný e-mail.

V případě Twitteru je v nápovědě přímo uvedeno, pakliže se nemůžete dostat na svůj účet a z nějakého důvodu vám (například kvůli ztracenému mobilu) nefunguje dvoufázové ověření, tak máte kontaktovat podporu. Dvoufaktorové ověření není ochrana proti kompromitované službě jako takové. Vstupuje tedy do toho znovu lidský faktor. Celkem útočníci cílili podle Twitteru na 130 účtů. Já si upřímně myslím, že u toho zbytku ten proces změny hesla jen nestihli, než Twitter začal reagovat. Je to nejspíš čistě manuální práce.

Na internetu se také objevily screenshoty z administrátorského systému a způsobily poprask, protože nástroje, které na nich byly zobrazené, v podstatě umožňovaly plnou kontrolu nad účtem. Byly tyto nástroje nějak neobvyklé?
Upřímně se divím, že se někdo diví. Jsou to běžné nástroje nejen na sociálních sítích, ale i v různých e-shopech. Plnou kontrolu ale neumožňují, nelze z nich například tweetovat pod cizím účtem. Umí jen to, co zákaznická podpora obvykle potřebuje k řešení nastalých problémů. Tam je pak akorát otázka, zda třeba lze smazat účet opravdu jedním kliknutím, nebo existuje další vrstva ověření, například přes dalšího člověka na zákaznické podpoře, nebo přes e-mailový odkaz pro uživatele.

Proč takové nástroje vůbec podpora má k dispozici?
Jedny z nejčastějších požadavků, které zákaznická podpora jakékoliv služby řeší, jsou věci typu: ztratil jsem telefon a nemám jak udělat dvoufázové ověření, založil jsem si účet přes pracovní e-mail, ale už tam nepracuji. Lidé hodně zapomínají hesla, takže je i hodně zaměstnanců v Twitteru i jinde, kteří k takový nástrojům mají přístup. Fakt, že k těm nástrojům prý mělo přístup tisíc lidí v Twitteru, je naprosto reálně představitelný a v podstatě mě to nepřekvapuje. Však si zkuste někdy ztratit telefon a obnovovat přístupy k různým účtům.

Lze hack Twitteru srovnat s něčím podobným z minulosti?
Srovnával bych ho se zmíněnými podvody se záměnou SIM karet. Ostatně jedna z analýz útoku naznačovala, že pachatelé jsou ze stejné komunity, která se právě tímto typem útoku zabývala. Je ale důležité říct, že opravdu nejde o nějaký sofistikovaný hack. Nejen, že by ta technická stránka nebyla zajímavá, ona tam spíš žádná není. Útočníkům se skutečně nejspíš stačilo přihlásit do adminu a změnit e-mail, když to trochu zjednoduším.

Jak by se firmy mohly proti podobným útokům bránit?
Nejlépe podle mě tak, že budou počítat s možností podobného útoku a vymodelují si riziko. Mohou tak začít zvažovat, co dělat například v situaci, kdy se někdo zvenčí dostane do jejich administrátorského systému. Konkrétní změny v případě Twitteru bych si dokázal představit tak, že aby byla možná změna e-mailu u verifikovaných účtů, tak musí schválit nadřízený toho pracovní zákaznické podpory. Nebo třeba, aby po změně e-mailu nebo hesla nešlo 48 hodin stahovat z Twitteru vlastní data, včetně soukromých zpráv. U e-shopu například, aby se po změně e-mailů zapomněly uložené platební karty.

Nebude to ovšem pak nepohodlné, pro zákazníky i firmu?
Samozřejmě, vždycky bude výsledkem nějaký kompromis mezi pohodlností a bezpečností. To, že se hacker do systému nalogoval, je jedna věc. Ale horší už je, že poté byl schopný stáhnout osobní data a podívat se na soukromé zprávy. Jsou tu však mechanismy, které tomu mohou zabránit, jak navrhuji. Je pochopitelné, že budou lidé, kterým se to líbit nebude, ale těm se to snad bude dát vysvětlit například v nápovědě.

Jak bys na závěr zhodnotil reakci Twitteru na celý incident?
Co by se bývalo dalo udělat lépe, už teď v Twitteru vědí také. Vídal jsem hodně výtky na použití Slacku pro přeposlání hesel, pokud se to tak skutečně stalo. Ano, Slack není žádný správce hesel, ale pokud je to třeba nějaké krátkodobé nebo jednorázové heslo, nevidím důvod, proč by si ho dva kolegové nemohli poslat přes službu, kam věří, že nikdo zvenčí nevidí.

Nicméně si nemyslím, že zabezpečení v Twitteru nějak podcenili, nevidím v tom žádné jejich velké pochybení. Snažím se právě vysvětlit, že situace není vůbec jednoduchá, když jsou spousty uživatelů, kteří běžně mění e-maily a zapomínají hesla, a podobné nástroje tedy proto musí existovat. Může se to stát naprosto každé firmě, která má pro někoho zajímavé uživatele, třeba i v Česku.