Säkerhetsåtgärderna som vidtas i stora IT-bolag växer exponentiellt då en ständigt utvecklande teknologi möjliggör mer och mer avancerade attacker. Detta sker såväl genom utbildning och nyanställning av personal som uppdatering av de befintliga datasystemen. En stjälpande våg av kontokapningar på den ökända sociala-media-plattformen Twitter under sommaren visade dock på raka motsatsen. Det här är bakgrunden till hur en 17-åring och hans två medhjälpare med förhållandevis enkla verktyg lyckades hacka Twitter.
Att ha korta användarnamn på stora sociala-medie-plattformar har länge inneburit status och uppmärksamhet. Att istället för @karlsellergren kunna kalla sig @k på Instagram gör dels att folk lättare ser din profil, dels skapar det uppfattningen att du har funnits på plattformen länge. Efterfrågan efter exklusiva namn på digitala plattformar har öppnat portarna till en bisarr ny industri: försäljningen av användarnamn. Det var just denna industri som förenade individerna – som numera benämns med användarnamn – “ever so anxious”, “lol” och “Kirk” och fick dem att bryta säkerheten bakom en av världens största sociala-medieplattformar.
Händelserna tog sin början när Kirk fick tillgång till en kommunikationskanal i molnverktyget Slack som användes av Twitters anställda. Genom att samla lite information i taget från olika personer (aktörer) kunde Kirk till slut kapa en Twitter-anställds Slack-konto, denna metod kallas inom IT-säkerhetsvärlden för Social Engineering. Social Engineering är i själva verket en mycket vanlig angripstyp idag, 97% av alla attacker slutar i Social Engineering eftersom människan är mer sannolik att delge känslig information än ett datorsystem. I detta fall skedde attacken sannolikt med en metod kallad SIM-swapping.
Kort om SIM-swapping
När du aktiverar tvåstegsautentisering (2FA) på ett konto kan du fortfarande ofta välja alternativet att få en kod via SMS eller telefon. Du specificerar då ett telefonnummer, men vad händer om någon annan får tillgång till detta telefonnummer? Det är detta som denna metod utnyttjar: Genom att kontakta din telefonoperatör och lyckas övertyga dem att hackaren är du själv kan hackaren få ett nytt SIM-kort och därefter logga in på ditt konto. SIM-swapping användes bland annat för att ta över Twitters vd Jack Dorseys Twitterkonto.
I Slack-kanalen hade alla meddelanden som tidigare skrivits av de anställda sparats, vilket öppnade portarna för Kirk. Genom kommunikationsverktyget kunde han få tillgång till en så kallad administratörspanel, en webbtjänst som möjliggjorde för vissa Twitter-anställda att hjälpa användare som låsts ut ur sitt konto. Men det stannade inte där: det visade sig senare att över 1000 personer hade tillgång till detta verktyg, däribland även underleverantörer till Twitter som inte jobbade där heltid. Administratörspanelen kunde återställa en användares lösenord, byta e-postadressen kopplad till en användare och till och med stänga av tvåfaktorsautentisering. Ett slående faktum är att verktyget alltså kunde ändra inställningarna till konton som hade tvåstegsautentisering aktiverat.
Att hacka ett konto på Twitter var numera enkelt för Kirk. Först skapade hackaren en ospårbar e-postadress som kopplades till Twitterkontot i fråga via administratörspanelen. Efter att ha ändrat e-postadress gick numera all information om kontot dit. Detta innebar att hackaren kunde motta ett lösenords-återställnings-mejl och stänga av tvåstegsautentisering, alla funktioner som fanns tillgängliga i adminpanelen. Slutligen togs all övrig kontaktinformation bort, varpå hackaren hade full tillgång till kontot och alla meddelanden som skickats via det någonsin. Undantaget är en handfull konton som hade extra säkerhetsåtgärder aktiva, ett exempel är Donald Trumps konto.
Det är morgonen den 15:e Juli som Kirk påbörjar ett samarbete med användarna lol och ever so anxious, ett samarbete där de två sistnämnda skulle agera mellanhänder i försäljningen av mycket exklusiva användarnamn som införskaffats med hjälp av administratörspanelen. Mellanhänderna jobbade med varandra sedan gammalt och var därför med stor sannolikhet erfarna inom handeln av “OG Usernames” och därmed SIM-swapping. Under onsdagsförmiddagen hade trion lyckats kapa och sälja användarnamn som @6, @b, @y, @dark, @w, @l, @50 och @vague för en kopiös summa pengar. Det var dock inte förrän runt 21:30 svensk tid som attackerna fick global uppmärksamhet.
Cirka 21:30 svensk tid tog Kirk sin plan till nästa steg. Han slutade ganska omgående sälja konton och började istället rikta in sig på kontonas följare genom att publicera en uppmaning. En uppmaning att skicka pengar till en viss Bitcoin-adress för att sedan få pengarna dubblade. Plötsligt kunde man alltså under denna onsdagskväll se runt 130 av Twitters kanske största konton kapade, som alla publicerat nästan samma meddelande. Drabbade var bland annat Apple; Amazons vd Jeff Bezos; Teslas vd Elon Musk; Microsofts vd Bill Gates; USA:s före detta president Barack Obama; USA:s dåvarande vicepresident Joe Biden och många fler.
Läs också:
I en nyhetsuppdatering skriven av The U.S. Attorney’s Office menar man på att Bitcoin-adressen mottog över 400 transaktioner av ett värde på över 890 000 svenska kronor. I rubrikerna på nyhetssajter över hela världen kunde man läsa hur Twitter hade satts på knäna. Dmitri Alperovitch, delgrundaren till IT-säkerhetsbolaget CrowdStrike, gick så långt som att kalla det “den värsta attacken mot en stor social-media-plattform hittills”. Men det fanns dock hållhakar. I takt med att Kirk kapade Twitterkontona i fråga lämnade han tidvis vissa personliga uppgifter bakom sig. Han använde bland annat samma Bitcoin-adress i meddelandet han publicerade som när han köpte och sålde användarnamn, vilket sedan kunde användas för att spåra honom.
Världen häpnade. Hur kunde säkerheten bakom ett sådant Silicon-Valley företag bara brista sådär? Vissa trodde att attacken genomfördes av professionella hackare, men bara några dagar senare greps en 17-årig kille med namn Graham Ivan Clark. Kort därefter greps även en 19-åring kallad Mason John Sheppard och en 22-åring med namn Nima Fazeli.
Vem tror du är vem? Efter ett påtagligt polisiärt arbete visade det sig att Graham går under namnet Kirk, Mason under ever so anxious och Nima under lol. Spännande att säkerheten hos av världens största mjukvaruföretag sett till antalet användare helt och hållet kan tillintetgöras av ett gäng ungdomar.
Källor som användes i den här artikeln
Popper, Nathaniel . Conger, Kate; Hackers Tell the Story of the Twitter Attack From the Inside; New York Times ; 2020; https://www.nytimes.com/2020/07/17/technology/twitter-hackers-interview.html, 2020-11-20.
Popper, Nathaniel . Conger, Kate; Florida Teenager Is Charged as ‘Mastermind’ of Twitter Hack; New York Times ; 2020; https://www.nytimes.com/2020/07/31/technology/twitter-hack-arrest.html, 2020-11-22.
The United States Attorneys Office; Three Individuals Charged For Alleged Roles In Twitter Hack; United States Department of Justice ; 2020; https://www.justice.gov/usao-ndca/pr/three-individuals-charged-alleged-roles-twitter-hack, 2020-11-21.
Whittaker, Zack; A hacker used Twitter’s own ‘admin’ tool to spread cryptocurrency scam; TechCrunch ; 2020; https://techcrunch.com/2020/07/15/twitter-hacker-admin-scam/, 2020-11-21.
Tidy, Joe; Major US Twitter accounts hacked in Bitcoin scam; BBC News ; 2020; https://www.bbc.com/news/technology-53425822, 2020-11-21.