Comments 76
“Использовал социальную инженерию, чтобы убедить сотрудника твиттер предоставить ему данные доступа»
Ну все понятно, это не взлом в классическом смысле, а просто наплевательское отношение сотрудников Твиттера к своей работе. Я бы на месте спецслужб еще бы и процедурами твиттера заинтересовался
Можно же для такого дела свой сервак поднять и шифрование настроить? Написать что-нибудь или тот же MyChat юзать на худой конец.
Или просто съехаться оффлайн для проведения операции;)
Ну и да, удивляет, что не анонимизировали биток через микшеры или перевод в крипту со встроенной анонимизацией. Или, может, таки пытались, но хозяева микшера под колпаком?
Но ведь не в этом их прокол
Дело всегда не в инструментах, а в людях
Как инструмент, дискорд дает возможность не регистрироваться (гостевая авторизация) и не запрашивает номер телефона, давая регаться по простому мейлу, оставаясь при этом одним из самых популярных месседжеров с одной из лучших реализаций голосовой и видео связи и количеством сообществ(в т.ч. полулегальных), в котором легко можно потеряться
Откуда у вас убеждение, что канал слушали? Нашли вывод битков изза того что он поленился их обезличить, приехали к челу, зашли в комп и в Дискорд. А там то у него история.
От чего радость? Детишки сделали хорошую безобидную прививку обществу. В очередной раз напомнили, что не надо слепо верить тому, что пишут кумиры. Напомнили, что корпорации плевали на защиту данных, ведь такие вещи плохо измеряются через KPI, и не дают продвижения по службе. Лично мне не кажется справедливой тюрьма за такое. Уличная гопота, и та в разы опаснее, чем они
>Уличная гопота, и та в разы опаснее, чем они
Серьезно? А чем эти детишки отличаются от создателей шифровальщиков-вымогателей, фишинговых сайтов и т.д.? Они тоже безобидные, тоже всего лишь прививки делают? Думаю если бы у Вас мошенники увели бы деньги, то Вы бы не считали их действия хорошими и безобидными. Если бы детишки не решили, что имеют полное моральное право поживиться за чужой счет, то и последствий таких не было бы. Тюремное заключение в их случае это однозначно справедливо, это заставит новых потенциальных мошенников задуматься перед тем как лезть в чужой карман. Единственное, что чересчур жестко — это срок, я так понял, взлом каждого еккаунта им вменяется как отдельное преступление, суммарно срок получается немаленький, но в реальности, думаю, лет через 10-15 их отпустят.
>Серьезно?
Вот серьезно, да. Если какие-то уроды пусть даже без умысла и сговора решили по пьяни кулаки размять, а человеку потом удалят селезенку или например будет сломана решетчатая кость и любой насморк потом для него может обернуться менингитом — таких персонажей надо изолировать от цивилизованного общества.
А тут какой вред наступил? Ленивый школьник накидал ссылок на кошелек и на него чисто статистически из многомиллионной аудитории кто-то прислал деньги? В наш век вебкамщиц и стримеров это преступление? Ну да, мошенничество, что обещал 100% кэшбек и не вернул — наибанальнейшее обманутое доверие (я понимаю, от Маска как венчурного капиталиста можно еще ожидать подобной ссылки, но сцук Обама!!! Как можно на такое повестись?), но… собрать на кошелек годовую зарплату среднего менеджера — это реально тянет на 50 лет тюрьмы? Можно подумать, что он за взлом с угрозой национальной безопасности или за расчлененку какую-то осужден.
По такой логике мошенники, которые названивают под видом сотрудников службы безопасности тоже вовсе не мошенники. А то, что могут у не очень технически подкованных людей увести деньги — так вообще мелочь, не избили же их. Так выходит?
Ну и да, реально, ребята сделали очень безобидное действие. Они могли запустить межрассовую бойню, качнуть фондовый рынок, а предпочли состричь годовую зп посредственного менеджера с халявщиков-авантюристов со свободным битком
Относительно срока, я написал, что жестко получается, но что поделать, в штатах подобные преступления рассматриваются не как одно а как множество и сроки складываются. Еще не стоит забывать что там очень жестко относятся к финансовым преступлениям. Так что никто из жалости к прыщавым подросткам, решившим, что они чем-то лучше других, не будет создавать прецедент, который сможет повлиять на рассмотрение других подобных дел. Этим «хакерам» надо было раньше думать о последствиях. Закон суров, но это закон. Он призван не только наказывать за совершенные преступления, но и предупреждать новые угрозой наказания. Повторюсь, другие потенциальные мошенники и аферисты после этого дела несколько раз подумают, а надо ли оно им.
Что ж, разъясню. Любое преступление есть преступление — этого я не отрицаю. Как только есть факт нарушения закона — этим должны заниматься органы исполнительной власти, а виновные — наказаны судебной властью. Но последняя на то и существует, что у нарушения закона есть множество аспектов и мотивов.
Я лично сталкивался и терпеть не могу мошенников. Но я питаю гораздо большую ненависть к людям, которым плевать на здоровье и жизнь жертвы. Первые на то и заморачиваются с, прости Господи, «социнженерией», потому что не будут резать человека за несчастные тысячу рублей в кармане.
Так что да, есть большая разница между человеком, разводящим на ненужный водный фильтр или пожертвования несуществующему больному, человеком, говорящим тебе «просто достань кошелек и никто не пострадает» и человеком, сначала бьющим по затылку молотком, а потом шарящим карманы. Мошенник, в большинстве случаев, отнимает деньги, которые жертва признает возможным на что-то такое выделить. Заметьте, я не говорю ни слова, что это его полностью оправдывает или как-то обвиняет жертву.
Что до сроков — то боязнь перед законом работает до определенного предела. Да, мамкины кулхацкеры не станут больше переписываться в дискорде, а кто-то не сворует вещи из магазина. Но ни разу еще боязнь получить большой срок не останавливала убийц, насильников, террористов или мафию. Вот и получается такое, что завинчивать гайки можно только за менее тяжкие вещи, приближая наркомана или мошенника к вот этим веселым персонажам, которые уперлись в свой физиологический потолок срока, заслуживая при этом куда больше.
А можно спросить, на основе чего Вы это утверждаете? Не знаю насчет убийства, но вот на тяжелые телесные у меня есть несколько кандидатов, и останавливает меня только перспектива наказания. Так что как минимум один человек не совершил преступления из-за возможных последствий, и, на мой взгляд, таких как я много, если не большинство, разница лишь в тяжести потенциальных преступлений.
Извините, но через Твиттер Трампа можно обрушить акции и напугать Иран или толстенького диктатора надвигающимся авиаударом.
Если исходить из такой логики, то залез вор в дом
Вор залез не в дом, а… ну например ты пришел в кинотеатр, сдал там верхнюю одежду, и вор залез в гардероб.
А при чем тут СБ банков? Мошенники же никаких реальных данных кроме имени и фамилии не знают, обычно (попросите их назвать отчество, и они смогут угадать только первую букву, т.к. только это показывает онлайн банк когда начинаете делать перевод).
Простите, не сталкивался. Звонят раз в неделю, но реальную проводку, баланс или последнюю операцию всегда обходят стороной, у них готовые скрипты есть, отточенные. Типа это не разрешено, без кодового слова мы не скажем, для этого нужен ваш CVS и номер карты...
У меня стандартный стёб над ними — назовите мое отчество. Больше половины вешает трубку сразу.
Может есть особо ушлые, но не думаю что им выгодно покупать такие данные (да ещё и свежие постоянно) ради наживы на лохах — тот кто не понял что это развод и так денег переведет, тот кто понял — его не убедить ничем уже.
Текущий баланс в каком банке?
А то вот у меня в двух российских банках есть счета, но все мошенники звонят и говорят про тот в котором у меня счетов не было(если не считать его советскую инкарнацию), нет и не будет. Что они там назвать могут?
Они могли обрушить акции любой компании или весь фондовый рынок (зашортив предварительно), устроить международный конфликт или начать даже войну.
Интересно, ему хоть перепало?
Ну вот, например: https://quote.rbc.ru/news/article/5eb2c9719a7947889ba1dfa3
Но фондовый рынок или войну пожалуй и правда нет.
Хотяяяя… если учесть что ребятам в принципе "повезло" и все звёзды сошлись — может ещё хорошо что они не стали пробовать) //сарказм
И то все акции вернулись бы в зад в течение дня, когда стало бы ясно что речь идет о взломе.
И пары часов достаточно чтобы переместить миллиарды долларов из одних рук в другие.
Примеры твитов:
Трамп: Вспышка вируса вышла из под контроля, ввожу военное положение по всей стране
Трамп: Снимаю свою кандидатуру на выборах
Маск: Решил уйти из Теслы. Подробности скоро.
Маск: Решил продать ХХ% акций Теслы фонду АБС
Маск: Инвестировал $1 млрд. в Ethereum Fundation. Разрабатываем решение на смарт контрактах для контроля потребления/генерирования электричества.
SEC: Инициируем расследование по поводу фабрикации финансовых отчетов компанией ХХХ
* Показываешь свои права для вывода денег *
* Садишься в тюрьму на 20 лет *
Ребят, это просто гениально!
А если нет, то ФБРщики арестовали случайно выбранных компьютерных хулиганов и типа «раскрыли дело».
Не знаю, какая из версий лучше.
Больше всего удивляет не то, что какой-то то (владеющий возможностью входа в админку) сотрудник дал доступ другому "сотруднику" после сообщений в месенджер… Ну пусть даже его заболтали, коварный социнжиниринг, гипноз через текст… Не знаю. Пусть будет на его совести.
Но вот что реально вымораживает: у твиттера админка через которую можно стать полубогом и писать от имени любого аккаунта работает через вебморду просто так? Тогда я вообще не понимаю почему ее не ломают каждые несколько дней, кусочек то лакомый.
Вроде ж можно как минимум эту вебморду оставить только внутри сети организации, доступ в сеть внутреннюю через VPN, а сам VPN по RSA токену. Это ж уже ну просто на уровне гигиены цифровой, не? И фиг бы у этих ребят что вышло бы. Или они развели сотрудника на выдачу ключа, инструкции какой впн нужен, узнали какой адрес подключения, адрес самого сервиса, сбросили пин для rsa и прочее и прочее и при этом не спалились?
Чудесатая ситуация.
Поддерживаю. Если вебморда такой админки и торчит наружу, что не очень хорошо, то тут как минимум должна быть двухфакторная авторизация, а то и вход по персональному сертификату
Наверняка ковид и массовый переход на удаленку понизил общую безопасность. Или у твитера все совсем плохо.
Ну это совсем зашквар, если в связи с выходом на удаленку там просто окрыли админку наружу.
Даже банальный впн решил бы проблему скорее всего (эти Буратино не факт что справились бы), а уж двухфакторка даже для клиентов твиттера есть, для админов должна быть вообще обязательна. Я просто не могу себе представить что они там у себя думают, если к ним заходят как к себе домой.
Ну или ребятам настолько свезло что они зашли по пути которого никто не ожидал именно по причине того что нормальный хакер даже пробовать не станет, ибо уверен что не проканает...
Тогда я вообще не понимаю почему ее не ломают каждые несколько дней, кусочек то лакомый.
Потому что останавливает от противоправных действий не сложность совершения преступления, а неотвратимость наказания, нашлись имбецилы, которые додумались хакнуть it-гиганта, зарабаотали 100к (годовая зп толкового itшника в штатах), получили от 5 до 20 лет заключения — это идеальный кейс, чтобы донести до миллионов мамкиных хацкеров, что сюда соватся не стоит. Умные поймут месседж, а глупые не осилют взлом, все счастливы, и только несколько недоумков сидят, являясь наглядным примером, как делать не надо.
А вообще твиттером никогда не пользовался и не собираюсь даже, не понятно зачем данная соцсеть нужна вообще.
Твиттер совсем не жалко, увели у них базы данных паролей и логинов так надо лучше было следить за своей безопасностью, не допускать утечек.
На прошлой неделе, мой товарищ, задержавшись на работе, поздно возращался домой, его остановили 5 гопников, разбили лицо, отобрали ценности, таким образом вы считаете, что это вина моего товарища, что он не носил с собой винтовку и не следил за своей безопасностью? В современном мире, граждане и юр.лица отстегивают главному бандиту (государству), чтобы жить в безопасном мире, и не заботится самостоятельно о своей безопасности, так чем отличаются it компании от других?
так чем отличаются it компании от других
От других серьезных компаний, работающих с информацией или материальной собственностью других людей — в вопросе безопасности практически ничем.
От простого человека (на которого могут напасть гопники) — тем, что они должны заботиться не столько о своей безопасности, сколько о безопасности своих клиентов. А для этого им просто придется нормально позаботиться самим о своей безопасности, ибо безопасность собственности клиентов зависит от их собственной безопасности. Ничего не поделаешь — работа такая.
Не все так просто, как на самом деле.
Если телохранитель понадеялся на государство и не прикрыл клиента от гопника, то он такой никому не нужен.
Если ИТ контора не позаботилась о безопасности информации своих клиентов, понадеявшись на государство, то это плохая ИТ компания. И по хорошему клиенты такой компании свои данные отдавать не должны.
Ведь государство в силу своего положения, конечно, должно ловить преступников (в том числе тех, кто "обижает" клиентов компании через "обиду", причиняемую самой компании), но "смотреть в глаза" клиентам компании, если что, будет таки не государство, а сама компания. А потому нормальные банки свои деньги хранят не кучей на улице, документы у адекватного нотариуса находятся в сейфе, а офис на сигнализации и т.д, и т.п.
Мой посыл: в данных условиях twitter сделал минимальные телодвижения, для обеспечения безопасности, усиление безопасности привело бы к оверхеду по затратам + снижение удобства пользователей и работников, государство отработало штатно, преступники схвачены и будут наказаны, все счастливы. В нынешней ситуации с законами, большего ожидать нет смысла, будут хакать, будут ловить, если куш большой, то будут хакать профессионалы, вплоть до спецслужб, и соответственно попадаться будут реже и никакими затратами на ИБ это не исправить.
но с другой стороны, не имеют права на ответные действия (как телохранители), т.е. лишены самой эффективной из защит — превентивного удара, компания, даже если обнаружила попытку взлома, не может послать своих торпед к хакерам, и решить вопрос кардинально, а вынуждена быть вечной терпилой, и при таких раскладах, чтобы it компании не делали, их будут хакать, просто по определению.
Банки (кстати, внезапно, тоже вполне ИТ компании, поскольку значительная часть их бизнеса — предоставление услуг в сети) тоже не могут нанести превентивный удар. Но почему-то не отмазываются, что их отделения будут грабить просто по определению, а принимают различные меры по защите: банкоматы бронируются, чтобы предотвратить механический взлом, деньги в сейфе (кроме тех, что в кассе на текущие операции, без этого банк просто не сможет работать), инкассаторы вооружены и в бронежилетах, а авто инкассаторов обычно бронировано, соединения в сети обычно шифруются (а если нет, то в морг такой банк), вводятся различные протоколы безопасности, и т.п.
усиление безопасности привело бы к оверхеду по затратам + снижение удобства пользователей и работников
Тогда вопрос, а зачем было тратить средства на уменьшение безопасности?
Я про те самые средства, которые были затрачены на механизм, позволяющий писать сотрудникам от имени клиента, т.е. сознательно вносить искажения в данные клиента, причем такие, которые могут негативно отразиться на репутации и доходах клиента.
все счастливы
Ага, особенно те, чьи учетки взломали. Счастливы, что от их имени опубликовали всего лишь бред про битки, а не что-то более серьезное.
будут хакать профессионалы, вплоть до спецслужб, и соответственно попадаться будут реже и никакими затратами на ИБ это не исправить.
Когда хакают профессионалы, то оно понятно. Никакие затраты на ИБ не окупятся.
Когда "хакают" свои же сотрудники, причем в рамках исполнения своих должностных обязанностей (я все про тот самый механизм публикации от имени пользователя), это уже как-то…
Опять же, ущерб репутации при взломе в денежном выражении может быть (и, скорее всего, будет) гораздо больше, чем сэкономленные на безопасности средства.
Так что хотя бы от всякой мелкой шушеры защититься надо хорошо, чтобы хотя бы детишки не взламывали просто так от скуки.
Понятно, что в данном конкретном случае (Твиттер) в какой-то степени защита от взлома была. Но наличие описанных в сети после взлома инструментов и столь незначительные персоны взломщиков как-то настораживают. Причем первое в большей степени.
Остальных от попытки ограбления удержит не навороченность охранной системы, а неотвратимость наказания, а сейфы и бронированные банкоматы не для того, чтобы предотвратить ограбление, а для того, чтобы задержать преступников до приезда вежливых людей с автоматическим оружием.
Вы поймите, если сейчас признать, что twitter был не прав, что его хакнули, это обернется раздутием бюджетов безопасников, а в результате все равно будут ломать, как ломают Amazon и IBM (Призраки в облаках habr.com/ru/post/484236). Ну ладно it-гиганты, они потянут и юристов и раздутые бюджеты, а что будут делать маленькие компании и стартапы? Закрываться, по причине, что не могут выполнить все предписания по безопасности?
Ох уж эти security people.
xakep.ru/2006/12/16/35784
А вообще твиттером никогда не пользовался и не собираюсь даже, не понятно зачем данная соцсеть нужна вообще.
А я вот AlexNewman'ом никогда не пользовался и непонятно зачем он вообще нужен. Предлагаете устранить или взломать?
Зачем вообще твиттеру возможность писать от имени аккаунтов? Там и президенты и бизнесмены, а тут от их лица любой модератор может написать… Одно дело возможно в базу добавить, а другое прямо из админки...
Скорее всего есть популярная кнопка, как во всех админках: Войти как Илон Маск.
Ну да, хрень какая-то. Я бы ещё понял, если бы была возможность написать в аккаунте, но от имени администрации и с отличающимся по дизайну твитом (например, в тех случаях, когда кто-то делает противозаконные призывы или скам, и админы хотят отмежеваться от этого контента, предупредив читателей, что твиты тут личное мнение автора, и вообще похожи на скам).
Мда… Похоже у "хакеров" компьютерных знаний маловато было. Интересно, они хоть vpn-то пользовались?
Ну и факт того, что вычислили по "анонимной" криптовалюте, интересно показательный.
С безопасностью в больших корпорациях, похоже, совсем беда...
Шеппард обвиняется в «компьютерном вторжении» (5 лет), участии в организованной группе для мошенничества (20 лет) и отмывании денег (20 лет).
45 лет срока в сумме? )) Серьезно?) Твиттер ему еще благодарен должен быть за этот краш тест.
Ощущение, что он человека убил, у которого в последствии украл миллион долларов))
Тот момент, когда мог приехать в Россию, заработать криминалом, отсидеть 3-4 года и выйти миллионером.
Какие-то неадекватные сроки в США. А главное, что не дают никакого результата.
Задержаны подростки, взломавшие Twitter