Twitter hafta sonuna girilirken yayınladığı blog yazısıyla şirket tarihindeki en büyük güvenlik felaketiyle ilgili detayları paylaştı. Saldırganlar dünya çapındaki en popüler Twitter hesaplarının bazılarına erişim elde etmişti. Bu hesapların arasında Amerikan Demokrat Parti başkan adayı Joe Biden, eski ABD Başkanı Barack Obama, Tesla CEO’su Elon Musk, Microsoft kurucusu Bill Gates, Kanye West ve Michael Bloomberg de yer alıyordu.
Kötü haber; Twitter saldırganların bir yandan Bitcoin dolandırıcılığı yaparken bir yandan da 8 kişinin kişiye özel direkt mesajlarını indirmiş olabileceklerini saptadı. Aynı zamanda erişim elde ettikleri her hesabın telefon numarası ve e-posta adresi gibi kişisel bilgileri de görebildiklerini kaydetti.
Twitter, saldırganların belirttiği 8 kişinin tüm Twitter veri arşivini indirdiğini saptadı. Bu veri arşivinin içinde diğer bilgilerle birlikte direkt mesajlar da bulunuyor.
For up to eight of the Twitter accounts involved, the attackers took the additional step of downloading the account’s information through our “Your Twitter Data” tool. We are reaching out directly to any account owner where we know this to be true.
— Support (@Support) July 18, 2020
Hatta saldırganlar, 8 kişinin silmeye çalıştığı direkt mesajları da görebilirler, çünkü Twitter DM’lerini sunucularında herhangi bir taraf sohbeti silmedikçe tutmaya devam ediyor. Zaten Twitter’ın “Twitter Veriniz” arşivinizi indirdiğinizde silinmiş olan direkt mesajları da arşiv içinde gösterdiği geçtiğimiz aylarda ortaya çıkmıştı. Arşivde kişi rehberi, direkt mesajlara iliştirilmiş olabilecek fotoğraflar ve videolar da bulunuyor.
İyi haber ise Twitter’ın bu sekiz hesabın hiçbir tanesinin doğrulanmış kullanıcılar olmadığını söylemesi. Yani hesapları hedef alınan yüksek profilli kişilere ait veriler indirilmedi. Yine de, korsanların direkt mesajlara bakmış olmaları muhtemel, ancak Elon Musk, Barack Obama ve diğerlerinin direkt mesajlarının çalınmadığını anlamış oluyoruz.
There is a lot speculation about the identity of these 8 accounts. We will only disclose this to the impacted accounts, however to address some of the speculation: none of the eight were Verified accounts.
— Support (@Support) July 18, 2020
Twitter’a göre korsanlar 130 hesabı hedefledi ve şifre sıfırlama işlemini başarıyla gerçekleştirdi. Bunlardan 45 tanesi üzerinden tweet attı, sadece doğrulanmamış sekize varan hesap üzerinden veri indirme girişiminde bulundu. Kaç hesabı kişisel bilgiler için taradığını veya kaç hesabın direkt mesajlarına erişip okuduğunu ise bilmiyoruz.
130 hesaplık kümeyle ilgili olarak Twitter, saldırganların diğer türde kişisel bilgilere de erişmiş olabileceğini kaydetti. Twitter aynı zamanda kullanıcı girişi yapmış olan kullanıcıların gittikleri yerlere ve kullanıcı girişi yaptıkları zamanlara ilişkin konum geçmişini de görmelerine izin veriyor.
Twitter daha önce şirket içindeki çalışanların kullandıkları bir aracın hesapların kontrolünü ele geçirmek için kullanıldığını açıklamıştı. Hatta çalışanlarının sosyal mühendislik dolandırıcılığının kurbanı olduklarını söylemişti. Şimdiyse şirket, saldırganların az sayıda çalışanı başarılı bir şekilde kandırıp onların Twitter’ın iç sistemlerine giriş yetkilerini kullandığını söyledi. Saldırganlar bu sayede iki faktörlü koruma süreçlerini bile başarıyla geçmeyi başardı.