Loni v červenci zažil Twitter nečekaný útok. Na desítkách prominentních a ověřených účtů se jako blesk z čistého nebe objevily netypické zprávy, které vyzývaly k poslání bitcoinů a přislíbily návrat dvojnásobku, což se ovšem nikdy nestalo. Za podvod teď půjde pykat osmnáctiletý mladík z Floridy.

Graham Ivan Clark společně se dvěma dalšími muži zosnoval útok, díky kterému si měl přijít na víc než třináct bitcoinů, v době útoku tedy zhruba 2,7 milionu korun. Pro zajímavost: v dnešních cenách by šlo zhruba o 15,5 milionu korun, jelikož bitcoin pravidelně roste.

Clark se u floridského státního soudu k činu přiznal a byl odsouzen ke třem letům odnětí svobody, které budou následovány tříletou podmínkou. Protože v době spáchání skutku mu bylo teprve 17 let, byl odsouzen jako „mladistvý zločinec“. Tím se vyhnul i minimálnímu trestu deseti let odnětí svobody.

Mladému hackerovi se z trestu odečte už 229 dní strávených ve vazbě. Jak uvedl deník Tampa Bay Times, jeho rozsudek obsahuje i zákaz používání počítačů bez přímého povolení od úřadů během podmínky. Bude se také muset podrobit prohlídkám bydliště a vzdát se hesel od jakýchkoliv online účtů, které vlastní.

Foto: CzechCrunch

Příklad podvodného tweetu na účtu Jeffa Bezose

„Rozhodl jsem se obdarovat komunitu. Veškerý bitcoin poslaný na mou adresu odešlu zpět a zdvojnásobím. Dávám maximálně 50 milionů dolarů.“ Právě zprávy v tomto nebo podobném znění se s odkazem na bitcoinovou peněženku 15. července 2020 objevily na zhruba 130 prominentních twitterových účtech.

Zasaženi byli třeba Joe Biden, Elon Musk, Barack Obama, Bill Gates nebo účty společností Apple, Uber a kryptoměnových směnáren Coinbase nebo Binance. Dlouhé minuty si ani Twitter nebyl jistý, co se děje, a tak na určitou dobu dokonce zakázal tweetovat ze všech ověřených účtů. Později zveřejnil, že pachatelé se u několika desítek účtů dostali i k soukromým zprávám a změnili hesla.

Onlinové identity pachatelů za pár desítek hodin odhalila série novinářských investigací, například z deníku The New York Times. FBI následovala se svým vyšetřováním a zatčeními jen pár dní poté.

Paradoxní na celém případu je, že za nejrozsáhlejším útokem v historii Twitteru nebyl žádný sofistikovaný technický hack, ale prostá lidská chyba. Vyšetřovatelé rychle dospěli k závěru, že Clark společně se spolupachateli použili metodu tzv. sociálního inženýringu.

Jednoduše řečeno zmanipulovali přesně vytipovaného zaměstnance Twitteru. Vyšetřování ukázalo, že přes LinkedIn vyhledali konkrétní lidi a následně jim přes uvedená čísla zavolali a předstírali, že jsou z Twitteru. Čin jim usnadnila i pandemická situace, která znemožnila standardní osobní bezpečnostní procedury.

Foto: Ryan Lash / TED

Zakladatel a šéf Twitteru Jack Dorsey

Přesvědčené zaměstnance následně navedli na phishingovou stránku, která se přesně podobala přihlašování do interního systému Twitteru. Tím jim daný zaměstnanec nevědomky dodal přihlašovací údaje do konzole pro zákaznickou podporu, která dovoluje velmi různorodě nakládat takřka s jakýmkoliv účtem na Twitteru.

Jak po útoku řekl v rozhovoru pro CzechCrunch bezpečnostní expert Michal Špaček, podobná věc se může stát takřka jakékoliv firmě. Twitter podle jeho názoru zásadním způsobem v zabezpečení nepochybil. Naopak selhal lidský faktor.

Společně s Clarkem jsou z činu obžalovaní také dvaadvacetiletý Nima Fazile z kalifornského Orlanda a devatenáctiletý Mason Sheppard z Velké Británie. Podle deníku Tampa Bay Times budou oba souzeni na federální úrovni.