Twitter-Verstoßreaktionen: Sicherheitsexperten bieten eine frühzeitige Bewertung an

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


Twitter wurde am Mittwochnachmittag in Flammen gesetzt, als große Kryptokonten zu twittern begannen, die sie mit einer falschen Website namens „Crypto For Health“ auf einem Werbegeschenk von 5.000 BTC zusammengebracht hatten.

Es war ein Betrug, aber einer, der die größten Accounts auf Twitter erreichen konnte, einschließlich des ehemaligen Präsidenten Barack Obama, dem meistbesuchten Account der Welt.

Weiterlesen: Alles, was wir über den Bitcoin-Betrug wissen

Von CoinDesk kontaktierte Sicherheitsprofis hatten eine Vielzahl von Meinungen zu dem Verstoß, aber alle waren sich einig, dass der Fehler nicht beim Eigentümer jedes gehackten Kontos lag. Sie sagten, der Verstoß sei wahrscheinlich auf Apps von Drittanbietern zurückzuführen, die in die Twitter-Konten von Personen eingebunden sind, oder auf soziale Medien Riese selbst.

"Was auch immer die Grundursache sein mag, diese Menge an Gesamtkosten würde mir sagen, dass dies etwas Neues und Massenausnutzbares ist, nicht etwas Bekanntes und Zielgerichtetes", sagte Erik Cabetas, geschäftsführender Gesellschafter bei Include Security, gegenüber CoinDesk in einer E-Mail .

Cabetas und Frans Rosén, ein weiterer Sicherheitsexperte einer europäischen Firma namens Detectify, wiesen CoinDesk darauf hin dieser Tweet, die Folgendes detailliert darlegten:

(OTP steht für "Einmalpasswort", eine Sicherheitsmethode, die üblicherweise im Rahmen von 2FA verwendet wird, oder "Zwei-Faktor-Identifikation".) Das Konto @ 6 ist für Adrian Lamo, einen Journalisten mit 163.000 Followern, der jetzt sein Passwort eingegeben hat Konto auf privat.

Jessy Irwin, ein früherer Sicherheitsexperte von AgileBits (Hersteller von 1Password) und Cosmos-Hersteller Tendermint, sagte, es gebe viele Möglichkeiten, sich in große Konten zu hacken.

"Es gibt endlose OAuth-Integrationen, APIs, mit denen Dienste von Drittanbietern auf die Plattform zugreifen können, und einige der SMS-Funktionen", schrieb sie. „[Twitter has] hat einige Arbeit geleistet, um die Autorisierung und Authentifizierung zu verbessern. Wenn Sie jedoch ein Superuser sind oder ein Team-Posting für Sie haben, ist es immer noch äußerst schwierig, den Service zu sichern. "

Parham Eftekhari von der Cybersecurity Collaborative, einem Forum für Sicherheitsprofis, warnte davor, dass Sicherheitsexperten nur spekulieren könnten. Das Ausmaß des Angriffs und Twitter ist frustriert Antwort wies darauf hin, dass das Problem tiefgreifend sein könnte:

Im Vogelhaus

Viele an Sicherheit angrenzende Konten teilen Gerüchte, dass der Verstoß tatsächlich von Twitter stammt, was darauf hindeuten würde, dass alle Arten von Daten kompromittiert werden könnten.

Richard Ma, Gründer der Smart-Contract-Wirtschaftsprüfungsgesellschaft Quantsamp, sagte gegenüber CoinDesk, sein Team glaube, das Problem liege im Twitter-Hauptquartier in San Francisco.

"Basierend auf dem, was wir bisher gesammelt haben, handelt es sich um eine interne Sicherheitsverletzung bei Twitter. Der Hacker konnte gegen Twitter verstoßen und Zugriff auf interne Verwaltungsfunktionen erhalten “, sagte er gegenüber CoinDesk.

"Es ist ein 'alberner' Hack, aber es ist auch wichtig zu schauen und warum die Leute motiviert sind, Dinge zu hacken. Einige Hacker sehen gerne zu, wie die Welt brennt – so ist es eben. Es könnte eine Kampagne sein, um Twitter albern aussehen zu lassen oder schlecht vorbereitet auf die Rolle, die es im öffentlichen Diskurs spielt. "

Eftekhari stimmte zu und stellte fest, dass es wichtig ist, sich daran zu erinnern, dass wir uns in einem Wahljahr befinden und dass Twitter eine De-facto-Kommunikationsinstitution für die Vereinigten Staaten ist, die rivalisierende Nationalstaaten ansprechen könnte.

Immerhin sei die Auszahlung (bisher 106.200 US-Dollar) gering.

Weiterlesen: Obama, Biden, Netanyahu, Musk: Hier ist eine Liste aller gehackten Twitter-Konten

Laut Irwin haben Mitarbeiter der Sicherheitsgemeinschaft bereits bemerkt, dass die von den Cyberkriminellen verwendeten Domains seit April aktiv sind. "Dies deutet darauf hin, dass dies ein bekanntes Problem oder eine ältere Sicherheitsanfälligkeit ist, die nicht kürzlich eingeführt wurde", sagte sie.

Yonathan Klijnsma, ein Bedrohungsforscher des Cybersicherheitsunternehmens RiskIQ, sagte, dass er zwar nicht sicher sein kann, es jedoch Spekulationen gibt, dass ein Twitter-Support-Mitgliedskonto entführt wurde.

"Obwohl wir nicht wissen, ob dies die Ursache ist, könnte dies erklären, wie sie so viele Konten entführt haben", sagte Klijnsma CoinDesk in einer E-Mail. „Der Twitter-Support kann Benutzern helfen, die von ihrem Konto ausgeschlossen sind, indem sie (normalerweise) Informationen überprüfen und ihnen dann helfen, wieder in ihr Konto zurückzukehren. Der Zugriff auf das Konto eines Support-Mitglieds könnte zu der massiven und scheinbar mühelosen Entführung führen, die wir heute beobachtet haben. "

Er sagte, das Ausmaß des laufenden Betrugs durch diese Twitter-Konten mit massiven Anhängern scheint die ganze Geschichte zu sein.

"Aber RiskIQ war in der Lage, viel mehr von der Infrastruktur des Bösen zu verfolgen, die für seine Betrugsoperationen verwendet wurde", sagte Klijnsma. "Wir haben bisher rund 400 Domains identifiziert, die alle mit diesen Betrügereien verbunden sind."

Betrugsquelle

Rosén betonte gegenüber CoinDesk, dass er nur spekulieren könne, stellte jedoch fest, dass der Ursprung der Tweets in der „Twitter Web App“ liege und dass der Twitter-Support feststellte, dass die Leute Probleme mit dem Zurücksetzen erwarten könnten.

Dies deutete Rosén an, dass der „Dienst zum Versenden von Kennwortrücksetzungen irgendwie verletzt wurde“ und dass „ein bestimmter Ablauf beim Zurücksetzen des Kennworts den Zugriff auf die Web-App ermöglichte“.

Dies könnte bedeuten, dass der Angreifer mehr als nur twittern kann, beispielsweise auf DMs zugreifen. Dan Guido von Trail of Bits, einer Sicherheitsfirma, auf die man sich in Krypto weitgehend verlässt, wies CoinDesk darauf hin ein Faden Er schrieb über den Vorfall auf einem der Sekundärkonten seiner Firma. Darin bemerkte er:

"Twitter war noch nie großartig darin, seine eigenen Daten zu sichern. Nachdem das Backend 2009 gehackt wurde (sehr ähnlich wie heute!), Hat die FTC Twitter 20 Jahre lang daran gehindert, Ansprüche auf ihre Sicherheit zu erheben."

Quantstamps Ma sagte, dieses Ereignis könne einen Schlüsselglauben der Krypto-Gläubigen festigen.

"Insgesamt denke ich, dass dies die Präferenz vieler Menschen für die Selbstverwaltung von Daten in der Krypto-Community verstärkt", sagte Ma. "Viele Twitter-Nutzer sind sich nicht der vollständigen Kontrolle bewusst, die sie bieten, wenn sie eine Plattform eines Drittanbieters mit besonderen Berechtigungen für ihre Konten verwenden."

Offenlegung

CoinDesk ist führend in Blockchain-Nachrichten und ein Medienunternehmen, das nach höchsten journalistischen Standards strebt und strenge redaktionelle Richtlinien einhält. CoinDesk ist eine unabhängige operative Tochtergesellschaft der Digital Currency Group, die in Kryptowährungen und Blockchain-Startups investiert.

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close