De recente high-profile hack van Twitter-accounts waar 12 BTC werd gestolen wordt onderzocht, en sommige uitwisselingen weten misschien al wie het gedaan heeft.
15 juli wordt een beruchte dag voor Twitter, omdat een onbekende aanvaller een aantal accounts op het social media-platform onder controle heeft gekregen voordat hij onoplettende gebruikers in een Bitcoin-goocheltruc heeft gedupeerd.
Het evenement trok de aandacht van de media, omdat enkele van ’s werelds meest opmerkelijke bedrijven, politici en zakelijke leiders hun accounts lieten compromitteren voordat ze soortgelijke berichten deelden waarin een Bitcoin Lifestyle (BTC) weggevertje werd aangeprezen, dat gebruikers verplichtte om munten naar een adres te sturen voordat ze het dubbele van dat bedrag terugontvingen.
Net als Tesla-oprichter Elon Musk, voormalig president Barack Obama van de Verenigde Staten, de Amerikaanse presidentskandidaat Joe Biden in 2020, Amazone-eigenaar Jeff Bezos en Microsoft-medestichter Bill Gates lieten hun rekeningen overnemen om vergelijkbare berichten te delen die gebruikers vertelden om $1.000 naar een adres te sturen om in ruil daarvoor $2.000 in BTC te ontvangen.
De Twitter-accounts van Apple, Uber en CashApp werden ook gebruikt om de dubbele berichten te delen. De accounts van het Hollywood beroemdhedenpaar Kanye West en Kim Kardashian en van de rappers Wiz Khalifa en wijlen XXXTentacion waren ook het slachtoffer, naast andere beroemde mensen.
Opmerkelijke cryptocijfers Changpeng „CZ“ Zhao, Justin Sun, Charlie Lee, King Cobie en AngeloBTC hebben ook hun rekeningen laten hacken. Grote cryptocurrency uitwisselingen Binance, Coinbase, Bitfinex en Gemini werden het slachtoffer van de aanval samen met de Twitter accounts van Bitcoin en Ripple.
Sommige van deze accounts noemden niet direct hetzelfde Bitcoin-adres als Musk en andere, maar zetten gebruikers ertoe aan om een kwaadaardige website te bezoeken om in aanmerking te komen voor een neppe 5.000 BTC-geschenk. De gebruikers zouden naar verluidt het dubbele ontvangen van de hoeveelheid BTC die ze naar het opgegeven adres stuurden.
De website is ondertussen uit de lucht gehaald en de domeinregistratiegegevens zijn nu uit de Whois-domeinregistratiedatabank verwijderd omwille van privacyredenen. Niettemin werd de naam van de geregistreerde eigenaar en zijn fysieke adres op grote schaal gepubliceerd.
De laatste opzoeking van het BTC-adres dat door Musk en andere gecompromitteerde Twitter-accounts wordt gedeeld, toont aan dat het 12.86584703 BTC heeft ontvangen sinds het begin van de overval. De aanvallers probeerden ook controle te krijgen over het Twitteraccount van Cointelegraph, maar dat lukte niet.
Voor sommige van de ongelukkige doelwitten van de hack, zoals CZ, die de CEO van Binance is, is zo’n grootschalige hack van Twitter-accounts van high-profile gebruikers en de diefstal van meer dan 12 BTC „een wake up call voor social media-platforms“.
Een inside job?
Er zijn aanwijzingen dat de aanvaller geholpen kan zijn door een bestaande Twitter-medewerker of -ontwikkelaar, omdat hij toegang had tot de administratieve panelen van de verschillende accounts die werden gecompromitteerd. Twitter bevestigde dat de aanvallers toegang hadden gehad tot de interne tools van de medewerkers die hen in staat stelden om de volledige controle over de verschillende accounts te nemen. Andere gebruikers op Twitter speculeerden dat de aanvallers de telefoonnummers of e-mailadressen voor verificatie hadden veranderd om de controle over de accounts over te nemen.
Het moederbord van Vice meldde dat screenshots van een hacker met behulp van een interne Twitter-gebruikershulpmiddel op een aantal van de accounts in kwestie werden gedeeld onder hackergroepen. De publicatie beweerde ook dat hackers bevestigden dat ze een Twitter-medewerker betaalden om toegang te krijgen tot de tools die nodig zijn om de aanval uit te voeren.
Zo werd bijvoorbeeld een screenshot van het adminpanel van het Twitter-account van Binance gedeeld en op grote schaal gepubliceerd via sociale media. Het is duidelijk dat Twitter vervolgens begon met het verwijderen van screenshots van gebruikerspanels die door verschillende accounts op het platform werden gepost – gezien de gevoelige informatie die op deze pagina’s wordt weergegeven.
Twitter nam vervolgens maatregelen om verdere schade te beperken door de getroffen accounts te vergrendelen en de snode tweets te verwijderen. Vervolgens beperkte het social media-platform de functionaliteit van een grotere groep geverifieerde accounts terwijl het de situatie onderzocht. Het resultaat was dat gebruikers een beperkte functionaliteit begonnen te ervaren. Het Whale Alert Twitter-account liet weten dat het door de veranderingen niet meer in staat was om gebruikers te waarschuwen met geautomatiseerde berichten op het platform.
Een verborgen bericht
Het toevoegen van intrige aan de saga is de ontdekking door gebruikers op Reddit van een niet-zo-verborgen bericht in een van de transactie-uitgangen. De verzender van deze specifieke transactie gaf $11 aan transactiekosten uit om de volgende tekst in de tx-uitvoer op te nemen:
„Lees gewoon alles. Transactie-uitvoer als tekst. U neemt risico’s wanneer u Bitcoin gebruikt. Voor uw Twitterspel. Bitcoin is traceerbaar. Waarom niet Monero.
Wat niet duidelijk is, is of de afzender van dit bericht verantwoordelijk was voor de Twitter hack of gewoon een andere gebruiker die van de gelegenheid gebruik maakt om de privacy-centrische cryptocurrency Monero (XMR) aan te spreken.
Crypto in beweging
Iets meer dan 24 uur na de hack begonnen de aanvallers wat geld te verplaatsen naar een adres dat eerder Bitcoin naar de portemonnee van BitPay en Coinbase had gestuurd. De verschillende gecompromitteerde Twitter-accounts hadden de gebruikers ertoe aangezet om hun BTC naar één adres te sturen, maar het geld is nu naar een ander adres verhuisd.
Blockchain analytics-bedrijf Whitestream heeft drie verschillende transacties geïdentificeerd van het adres naar deze mainstream cryptocurrencybeurzen. Eén daarvan betrof een overdracht van 1,2 BTC in mei, terwijl de laatste twee transacties werden uitgevoerd twee dagen voor dit lopende Twitter-debacle.
Cointelegraph heeft ook gemeld dat Binance, Coinbase en BitGo mogelijk informatie hebben die de mensen achter het hacking-incident kunnen identificeren. Cointelegraph heeft contact opgenomen met CZ van Binance om na te gaan of Twitter gegevens heeft onthuld over de manier waarop hackers de controle hebben gekregen over het bedrijfsaccount en over zijn persoonlijke profiel. CZ bevestigde dat er geen informatie van Twitter was geweest over wie verantwoordelijk was voor de aanval.
Als we het incident vanuit een ideologisch perspectief bekijken, is CZ van mening dat de inbreuk niet noodzakelijkerwijs een slechte afspiegeling is van Bitcoin en bewijst dat de cryptocurrency van onschatbare waarde is. Aan de andere kant zegt CZ dat het moeilijk te beargumenteren is tegen het idee dat de hack slecht heeft gereflecteerd op Twitter en zijn interne beveiligingssysteem, wat zou moeten leiden tot verbeteringen:
„Wij geloven dat dit een goede wake up call is voor alle social media platforms om hun veiligheidspraktijken te vernieuwen gezien de toegenomen adoptie van cryptocurrency’s. Sociale-mediaplatforms zijn niet langer alleen een plek om een egoïst te delen, maar kunnen en zullen ook worden gebruikt voor financiële transacties en zelfs voor criminaliteit. Er moet meer veiligheid worden ingebouwd in deze platforms.
CZ benadrukte de realiteit dat veel sociale-mediaplatforms niet eens twee-factor authenticatiemogelijkheden bieden. Dit was tot voor kort het geval met Twitter, maar zelfs de introductie van 2FA werd overbodig gemaakt door andere beveiligingsopties die de effectiviteit ervan omzeilen:
„Twitter heeft de 2FA-functie nog niet zo lang geleden toegevoegd, maar de implementatie ervan is gebrekkig en laat de mogelijkheid open voor een aanvaller die je account brutaalweg aanvalt om de oorspronkelijke eigenaar van het account te vergrendelen. Het reset zelfs 2FA en e-mailadres, wat het doel van 2FA teniet doet. Ik heb hier minder dan anderhalve maand geleden over getweet.“
Als het een hack was op het back-end administratiesysteem van Twitter zelf, stelde CZ voor dat Twitter en andere sociale media-platforms „snel moeten overstappen naar een zero-trust beveiligingsarchitectuur waar zelfs interne medewerkers dit soort accountovernames niet kunnen maken.“
CZ is van mening dat deze hack een schijnwerper werpt op wat hij beschreef als een „inherente fout ingebouwd in het gecentraliseerde web“, waarbij Bitcoin helaas betrokken is geweest als de methode om fondsen te stelen. De CEO van Binance is echter van mening dat er een positief punt uit het spraakmakende evenement naar voren komt, aangezien de aandacht nu zal worden gericht op het oplossen van het probleem: „Dit is iets waar wij, de spelers in de crypto-industrie, al heel lang om vragen, en het zal eindelijk echte aandacht krijgen.“
Een herinnering om goede cybersecurity maatregelen te oefenen…
Cybersecurity-bedrijf Kaspersky woog ook mee op de reeks gebeurtenissen die in een correspondentie met Cointelegraph aan het licht zijn gekomen. Kaspersky’s bedreigingsonderzoek en de communicatieambtenaar van de veiligheidsinlichtingendienst, Blair Dunbar, zeiden dat het bedrijf slechts conclusies kon trekken over de feiten die in het openbaar zijn bevestigd:
„Twitter schreef dat verschillende van zijn werknemers het slachtoffer waren van de aanval. Dit suggereert dat de criminelen probeerden toegang te krijgen tot de infrastructuur van het platform via hun accounts. Bovendien suggereert het feit dat de criminelen onmiddellijk toegang konden krijgen tot zo’n groot aantal accounts, dat er iets intern in het systeem is gecompromitteerd“.
Volgens Dunbar, lijkt het motief achter de aanval financieel gewin te zijn geweest, wat wijst op een criminele groepering. Het bedrijf is van mening dat een natiestaat de toegang zou hebben gebruikt om „privé-informatie, zoals DM’s van belangstellenden“ te verzamelen in plaats van de controle te nemen over high-profile bedrijfsrekeningen zoals Uber, Apple en de verschillende exchange accounts die werden gecompromitteerd.
Hoewel de situatie voor zowel Bitcoin als Twitter negatief was in termen van publieke perceptie, gelooft Dunbar dat het niet noodzakelijkerwijs betekent dat de cryptocurrency alleen wordt gebruikt als een vehikel voor hackers. „Elke crimineel kan cryptocurrency misbruiken voor zijn eigen kwaadaardige doeleinden, maar dat betekent niet dat het de schuld is van de cryptocurrency zelf“. Bovendien denkt hij dat Twitter terug zal stuiteren van het incident: „Wat Twitter betreft, zullen ze moeten werken om het vertrouwen van de gebruikers terug te winnen. Dat gezegd hebbende, lijken ze de breuk serieus te nemen.“
Volgens Dunbar is de situatie een sterke herinnering dat gebruikers van social media platforms en online tools zich bewust moeten zijn van de dreiging van hacks en snode organisaties, en goede veiligheidsmaatregelen moeten nemen. Maar het belangrijkste is dat gebruikers „sceptisch moeten zijn, zelfs als deze informatie afkomstig is van een vermeende betrouwbare bron“.
CZ bood ook een herinnering aan dat het publiek zijn due diligence moet doen als het gaat om online giveaways, donaties en projecten: „Dit is ook een onderwijskans voor de massapopulatie en een belangrijke stap voor mensen om te leren hoe ze niet moeten vallen voor online oplichting, zelfs als je favoriete idool je vraagt om te doneren of geld over te maken.“