Como se deu o hackeamento das contas do Twitter

Hackers acessaram ferramentas internas para trocar e-mail das contas

Como se deu o hackeamento das contas do Twitter

Na última quarta-feira, dia 15 de julho de 2020, o Twitter foi o alvo mais recente de um grande golpe.
Cerca de 130 contas especificamente escolhidas postaram um twitte pedindo um depósito em Bitcoins em uma carteira, prometendo receber em dobro.  A mensagem dava o prazo de uma hora para que o pagamento fosse realizado, e era postada com uma mensagem de generosidade devido a Covid-19.
Entre as contas que receberam a postagem estavam a de empresas, empresários e políticos famosos, como o Twitter da Apple, Uber e Binance, o ex-presidente dos EUA Barack Obama, Elon Musk, CEO da Tesla e da SpaceX, o candidato presidencial Joe Biden, o fundador e CEO da Amazon Jeff Bezos, o co-fundador da Microsoft Bill Gates, e ainda do empresário e político Mike Bloomberg.
A conta do presidente americano, Donald Trum não foi alvo.  Com milhões de seguidores, poderia ter sido um estrago perigoso.
Algumas contas de empresas e traders de criptomoedas também foram alvos, como Binance e Coinbase.
O objetivo dos atacantes era conseguir fundos suficientes para fazer uma oferta de 5.000 Bitcoins.
Por muita sorte, as mensagens não renderam o estrago que estaria previsto, pois as trocas na carteira utilizada renderam 116 mil dólares apenas (cerca de 600 mil reais).  Os endereços BTC secundários registraram um total de 100 transações e receberam cerca de US$ 6.700 em bitcoins.
De acordo com o status mais recente dessas contas, um pouco de mais de 12 bitcoins foram adquiridos e já transferidos para outras contas.
Uma carteira cujas associações ainda não são conhecidas recebeu 5 bitcoins (US$ 46.055) no total. 
Parte da fraude contava com hackers que agitavam sua própria criptografia entre carteiras para aumentar o número de pessoas que pareciam estar entrando.
Houve 376 transações relacionadas a esta conta. As transações ocorreram de contas de praticamente todo o mundo e, em especial, de operadoras japonesas.
Ao todo foram quatro carteiras associadas ao ataque.  O endereço principal recebeu US$ 120.000. Os endereços secundários receberam US$ 6.700 em bitcoin de 100 transações. Uma carteira XRP não conseguiu nada.
Uma carteira japonesa que enviou US$ 40.000 em bitcoin parece ter sido a maior vítima dos hackers.  17 carteiras doaram mais de US$ 1.000,00.
Nenhum BTC foi sacado ainda.

O Twitter demorou cerca de duas a quatro horas para identificar e responder ao problema.  E as investigações iniciaram.
Depois de fechar o acesso não autorizado, o Twitter confirmou que os hackers usavam a engenharia social para atingir "funcionários com acesso a ferramentas e sistemas internos".
“Sabemos que eles usaram esse acesso para assumir o controle de muitas contas altamente visíveis (incluindo verificadas) e fazerem Tweetes em seu nome. Estamos analisando outras atividades maliciosas que eles possam ter conduzido ou informações que possam ter acessado", afirmou o Twitter em uma de suas primeiras mensagens sobre o caso.
O formato do ataque já foi divulgado pelos atacantes em dois grupos na deepweb, incluindo imagens de captura de tela da ferramenta interna utilizada.
Ao que tudo indica, o grupo teve acesso a aplicações internas da empresa que permitia adquirir contas e realizar várias funções com as mesmas.  Não se sabe ainda se os envolvidos fizeram parte de esquema, colaboraram com ele ou não estavam cientes das ações realizadas através de suas contas internas, o que também é possível.
Após terem acesso às contas, os e-mails associados à elas foram trocados, permitindo o acesso às contas do Twitter individualmente e postarem mensagens.  
As mensagens não foram postadas pela aplicação interna do Twitter, como alguns sites revelam, mas sim, estas aplicações foram usadas para alterar dados administrativos na conta.

O ataque provocou mais destruição ao Twitter do que às contas dos usuários que caíram no conto do vigário de ganhar dinheiro em dobro.
A grande questão é como pode um funcionário interno ter acesso a uma aplicação que troca manualmente os e-mails de validação das contas.  Afinal, uma função que deveria estar presente apenas em sites de cadastro simples, como mailing, etc., não poderia estar disponível para trocar uma informação vital na associação das contas com o  principal mecanismo de segurança e validação delas.
O Twitter segue apurando o fato.