Reacciones de incumplimiento de Twitter: los profesionales de seguridad ofrecen una evaluación temprana

Todo Twitter se incendió el miércoles por la tarde cuando las principales cuentas de cifrado comenzaron a tuitear que se habían asociado con un sitio falso llamado "Crypto For Health" en un sorteo de 5,000 BTC.

Fue una estafa pero fue capaz de llegar a las cuentas más grandes en Twitter, incluida la del ex presidente Barack Obama, la cuenta más seguida en el mundo.

Lea más: Todo lo que sabemos sobre la estafa de Bitcoin con las cuentas más destacadas de Twitter

Los profesionales de seguridad contactados por CoinDesk tenían una amplia gama de opiniones sobre la violación, pero todos acordaron que la falla no estaba en cada uno propietario de la cuenta pirateada Dijeron que la violación probablemente se debió a aplicaciones de terceros conectadas a las cuentas de Twitter de las personas o desde el propio gigante de las redes sociales .

"Cualquiera que sea la causa raíz, esta cantidad de pwnage total me diría que esto es algo novedoso y explotable en masa, no algo bien conocido y dirigido", Erik Cabetas, socio gerente de Incluir seguridad le dijo a CoinDesk en un correo electrónico.

Cabetas y Frans Rosén, otro profesional de seguridad de una empresa en Europa llamada Detectify señalaron a CoinDesk este tweet que detallaba lo siguiente:

(OTP significa "contraseña de un solo uso", un método de seguridad comúnmente utilizado como parte de 2FA, o "identificación de dos factores"). La cuenta @ 6 es para Adrian Lamo, un periodista con 163,000 seguidores, que tiene Ahora ponga su cuenta en privado.

Jessy Irwin un profesional de seguridad anteriormente de AgileBits (fabricante de 1Password) y Cosmos fabricante Tendermint, dijo que hay muchas maneras de piratear grandes cuentas.

"Hay infinitas integraciones de OAuth, las API que permiten que servicios de terceros accedan a la plataforma y algunas de las funciones de SMS", escribió. "[Twitter has] realizó un trabajo para mejorar la autorización y la autenticación, pero si usted es un superusuario o tiene una publicación de equipo para usted, aún es extremadamente difícil asegurar el servicio".

Parham Eftekhari, de Cybersecurity Collaborative, un foro para profesionales de seguridad, advirtió que todo lo que los profesionales de seguridad podrían hacer es especular. La escala del ataque y la respuesta frustrada de Twitter indicaron que el problema podría ser profundo:

Muchas cuentas adyacentes de seguridad comparten rumores de que la violación es en realidad desde el interior de Twitter, lo que sugiere que todo tipo de datos podría verse comprometido.

Richard Ma, fundador de la firma de auditoría de contratos inteligentes Quantstamp, le dijo a CoinDesk que su equipo creía que el problema estaba en la sede de Twitter en San Francisco.

"Según lo que hemos reunido hasta ahora, esta es una violación de seguridad interna de Twitter. El hacker pudo violar Twitter y obtener acceso a la funcionalidad de administración interna ”, le dijo a CoinDesk.

Eftekhari estuvo de acuerdo, señalando que es importante recordar que estamos en un año electoral, y que Twitter es una institución de comunicaciones de facto para los Estados Unidos, que podría ser atractivo para los estados nacionales rivales.

Después de todo, señaló, el pago ( $ 106,200 hasta ahora ) fue pequeño.

Lea más: Obama, Biden, Netanyahu, Musk: Aquí hay una lista de todas las cuentas de Twitter pirateadas

Irwin dijo que los asociados en la comunidad de seguridad ya se han dado cuenta de que los dominios utilizados por los cibercriminales han estado activos desde abril . "Eso sugiere que este es un problema conocido o una vulnerabilidad anterior que no se introdujo recientemente", dijo.

Yonathan Klijnsma, investigador de amenazas de la compañía de ciberseguridad RiskIQ, dijo que aunque no puede estar seguro, se especula que una cuenta de miembro de soporte de Twitter fue secuestrada.

"Si bien no sabemos si esta es la causa, podría explicar cómo secuestraron tantas cuentas", dijo Klijnsma a CoinDesk en un correo electrónico. “El soporte de Twitter puede ayudar a los usuarios que están bloqueados de su cuenta verificando (normalmente) la información y luego ayudándoles a volver a acceder a su cuenta. Obtener acceso a la cuenta de un miembro de soporte podría conducir al secuestro masivo y aparentemente sin esfuerzo que observamos hoy ".

Dijo que la escala de la estafa en curso a través de estas cuentas de Twitter con seguidores masivos parece ser toda la historia.

"Pero RiskIQ ha podido rastrear mucho más de la infraestructura del malo utilizada en sus operaciones de estafa", dijo Klijnsma. "Hasta el momento identificamos alrededor de 400 dominios que están vinculados a estas estafas".

Rosén enfatizó a CoinDesk que solo podía especular, pero señaló que el origen de los tweets ha sido "Twitter Web App" y que el Soporte de Twitter señaló que las personas podrían esperar problemas con los reinicios.

Esto le sugirió a Rosén que "el servicio utilizado para enviar restablecimientos de contraseña se violó de alguna manera", y que "algún flujo específico al restablecer la contraseña hizo posible obtener acceso a la aplicación web".

Lo cual, advirtió, podría significar que el atacante podría hacer más que tuitear, como acceder a DMs. Dan Guido, de Trail of Bits una empresa de seguridad ampliamente utilizada en criptografía, señaló a CoinDesk un hilo que escribió sobre el incidente en una de las cuentas secundarias de su empresa. En eso, señaló:

Ma de Quantstamp dijo que este evento podría cimentar una creencia clave de los fieles criptográficos.

"En general, creo que esto refuerza la preferencia de muchas personas por la custodia de los datos en la comunidad criptográfica", dijo Ma. "Muchos usuarios de Twitter no son conscientes del control total que brindan cuando utilizan una plataforma de terceros con privilegios especiales sobre sus cuentas".