Drie lessen uit de Twitter-hack

Dit artikel delen:
Twitter

De ingrijpende hack bij Twitter roept vragen op over hun beveiligingsprocedures. Maar is vooral een kwestie van social engineering. ‘De Twitter-hack was gebaseerd op de meest simpele kwetsbaarheid'.

Barack Obama, Elon Musk, Kim Kardashian, Kanye West, Apple, Uber en nog andere. Allemaal werden ze gehackt. Er werd op hun account om donaties in bitcoins, virtuele munten, gevraagd. Het is de grootste hack ooit bij Twitter.

Volgens persbureau Reuters blijkt uit openbare blockchain-gegevens dat de vermeende oplichters iets meer dan 100.000 dollar (aan bitcoins) ontvingen van volgers die zich lieten misleiden. Dat is eigenlijk beperkt. De valse tweets werden enkele minuten nadat ze gepubliceerd waren al weggehaald, maar de schade, ook in reputatie, was geschied.  Met deze bevindingen.

1. De zwakke schakel van de systeembeheerder

De getroffen accounts waren allemaal ‘geverifieerde accounts’, waar een blauw vinkje naast de gebruikersnaam staat om de echtheid aan te tonen. Er werd namelijk ingebroken in het beheerderspaneel van Twitter. Waardoor je als hacker de gegevens van alle Twitteraccounts aan de bron kan wijzigen. Zo goed als alle, want voor sommigen (zoals die van Donald Trump) heb je meer privileges nodig.

Georges Ataya, director en security professor bij Solvay, is alvast formeel: ‘De Twitter-hack was gebaseerd op de meest eenvoudige kwetsbaarheid: toegang tot een geprivilegieerde account. Al is het tegelijk ook een veel voorkomende kwetsbaarheid.’

Het kwam er op aan om de systeembeheerder te bespelen. ‘Geen enkele systeembeheerder is onoverwinnelijk’, stelt Attaya, al vindt hij toch dat er lessen moeten worden getrokken. ‘Ze moeten hun priviledged accounts niet zomaar gebruiken, tenzij in geval van nood.’

2. Opmars van cryptocurrency giveaway scams

Zogenaamde 'cryptocurrency giveaway scams' zitten ook al enkele jaren in de lift. De scams zijn vaak gericht op gebruikers van Ethereum en Bitcoin en vragen slachtoffers meestal een klein bedrag van de valuta over te maken in ruil voor een veel grotere uitbetaling in dezelfde cryptocurrency.

Alleen waren tot voor kort deze tweets vaak afkomstig waren van nepaccounts, die zijn ontworpen om clicks en retweets te genereren. Het gebruik van geverifieerde accounts is dus een nieuwe ontwikkeling.

3. Nog maar eens: social engineering

De gebruikte social engineering bij deze aanval toonde aan dat de aanvallers zich richtten op Twitter-medewerkers met toegang tot interne tools.

Maar de gecoördineerde aanval was bedoeld om miljoenen Twitter-volgers te overtuigen om de frauduleuze tweets te geloven, op de link te klikken en bitcoins te betalen, benadrukt Loïc Guezo, senior director of cybersecurity strategy EMEA bij Proofpoint. ‘Ze gingen uit van het vertrouwen dat mensen hebben in geverifieerde accounts en de aantrekkingskracht van het verdubbelen van hun geld.’

Mensen zijn nog steeds het voornaamste doelwit van cybercriminelen, benadrukt  Loïc Guezo. ‘Zelfs in scenario's waarin een systeem wordt aangevallen.’

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-07-17T11:39:00.000Z William Visterin
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.