"Lak posao": Antihakeri "kidnapovali" Twitter naloge poznatih ličnosti

"Ovaj nalog je privremeno otela Insinia Security", glasio je tekst tvita koji se pojavio u četvrtak na Twitter nalozima brojnih poznatih ličnosti, uključujući Emona Holmsa i Luisa Terouka. Poruka se takođe pojavila na Twitter feed-u Independentovog putujućeg dopisnika Sajmona Kaldera.

Kompanija Insinia Security objasnila je da je to urađeno zbog isticanja opasnosti po bezbednost telefonskih brojeva povezanih sa Twitter nalogom.

Izvršni direktor kompanije Insinia Securiti Majk Godfri potvrdio je za Independent da se to dogodilo, objašnjavajući razlog:

"Insinia je godinama upozoravala da je korišćenje tekstualnih poruka za autentifikaciju, interakciju ili bezbednost potpuno neprihvatljivo i da naloge ljudi ranjivim za napad."

To pitanje je bilo prisutno na Twitteru 2007. godine, pa 2009, ponovo u 2011. i skoro svake godine od tada. Vrlo jednostavno, Twitter ne želi to da čuje.

This account is now under the control of @InsiniaSRT. Luckily, this has been H4CK3D to highlight an important vulnerability. The user of this account has NOT lost access to it, no data compromised and is NOT under attack. See how it was done... https://t.co/RL7RscRxjH

— INSINIA SECURITY (@insiniasec) December 27, 2018

Današnjom kampanjom istaknute su pomenute slabosti, njihova ozbiljnost i to kako neko sa relativno slabijim znanjem i određenim alatima može da kontroliše društvene medije koje ljudi koriste u službi svojih brendova, karijere, imidža i još mnogo toga. Ljudi imaju pravo da znaju istinu o stanju nebezbednosti koje ogromne kompanije poput Twittera ostavljaju korisnicima.

"Otmica" naloga je bila lak posao, navodi Godfri.

"U ovom slučaju, to je bio jednostavan zadatak 'podvlačenja' Twitter korisnika MSISDN-a (broj mobilnog telefona) i slanja tekstova koji su izgledali kao da su poslati sa njihovog telefona na Twitter, što je automatski prihvatalo komande, pod uslovom da je ova društvena mreža prepoznala da je tekst došao sa broja telefona korisnika, što se i dogodilo", objasnio je i dodao da je za izvođenje napada bilo potrebno 10 minuta.

Prema kompaniji Insinia Securiti, taj bezbednosni nedostatak može dovesti do potencijalnih rizika kao što su širenje uvredljivog ili ekstremističkog materijala i širenje lažnih vesti.

Godfri kaže da je najbolji način za zaštitu korišćenje posebnog broja za TFA (autentifikaciju u dva faktora) na Twitteru.

"Ljudi moraju da shvate da vas čak i neko, ko ima vaš broj telefona, ugrožava. Ne bi trebalo tako olako da ostavljamo naše brojeve drugima, a Twitter svakako ne bi trebalo da dopusti ljudima da tvituju i da kontrolišu svoje naloge slanjem tekstova bez ikakive autentifikacije", zaključio je on.