Задержаны подростки, взломавшие Twitter +26



15 июля 2020 произошёл самый громкий взлом Twitter за всю историю этого сервиса. Были взломаны более сотни верифицированных аккаунтов, в том числе компании Apple, Илона Маска, Джеффа Безоса, Барака Обамы, Билла Гейтса, других известных бизнесменов и политиков. С каждого аккаунта хакеры опубликовали предложение поучаствовать в пирамиде и перечислить биткоины на указанный кошелёк, обещая вернуть их в двойном размере. За несколько часов они заработали более $100 000.

Расследованием преступления занялись несколько спецслужб США, включая Секретную службу и ФБР — и спустя две недели они нашли подозреваемых. Это два подростка: 17-летний Грэм Кларк из Тампы (главарь банды на фото вверху) и 19-летний Мейсон Шеппард из Богнор-Риджиса, Великобритания, под хакерским псевдонимом Chaewon, а также 22-летняя девушка Нима Фазели из Орландо под хакерским псевдонимом Rolex.

Спецслужбы добыли неопровержимые доказательства вины. Фрагмент переписки Кларка с Rolex показан на скриншоте ниже.

Кларк (Kirk) в чате Discord говорит девушке, что является сотрудником Twitter и может дать ей любой аккаунт.



Подозреваемый во взломе Грэм Кларк помещён под арест, а двоим другим предъявлены обвинения.

ФБР утверждает, что всего под стражей находятся два человека. Кроме Кларка, это ещё неизвестный несовершеннолетний из Калифорнии, который признался, что помогал Chaewon продавать доступ к аккаунтам в Twitter.

Согласно обвинительному заключению, опубликованному вчера поздно вечером, у властей есть вероятные основания полагать, что Кларк получил доступ к внутренним инструментам Twitter и непосредственно осуществил мошенничество. В частности, он якобы убедил сотрудника Twitter, что работает в IT-отделе Twitter, и обманом заставил сотрудника предоставить ему учётные данные.



Из показаний: «Кларк использовал социальную инженерию, чтобы убедить сотрудника Twitter в том, что он является сотрудником IT-отдела, и попросил его предоставить учётные данные для доступа к порталу обслуживания клиентов. Затем Кларк получил доступ к твиттер-аккаунтам известных людей, включая вице-президента Джо Байдена, бывшего президента Барака Обаму и компаний, таких как Apple и Coinbase. Затем Кларк разместил на своих аккаунтах в Twitter сообщение о том, что если биткоины будут отправлены на счета, то они будут удвоены и возвращены жертве. Кларк не вернул деньги и перевёл их на другой счёт. Десять известных людей предварительно предоставили личную идентификационную информацию в виде верифицированного твиттер-аккаунта, который без согласия был использован в мошеннической деятельности. Кларк получил приблизительно 117 000 долларов в ходе осуществления своей схемы мошенничества».

Раньше было неизвестно, как именно злоумышленник получил доступ к внутренним системам. Twitter просто заявил, что стал жертвой фишинговой атаки, а предыдущие отчеты предполагали, что хакер проник в служебный канал Slack либо сумел подкупить сотрудника.

ФБР пояснило, что хакера удалось вычислить через аккаунты на биржах Binance и Coinbase, где Кларк предъявил свои водительские права (это самое распространённое удостоверение личности в США), а на эти аккаунты он перевёл часть средств, полученных мошенническим путём.

Нима Фазели также предъявила водительские права для верификации аккаунта в Coinbase, куда приходили средства со счетов, которые контролировала Rolex.

Девушке грозит пять лет тюрьмы и штраф в размере $250 000 долларов за каждое «компьютерное вторжение».

Шеппард обвиняется в «компьютерном вторжении» (5 лет), участии в организованной группе для мошенничества (20 лет) и отмывании денег (20 лет).



Судя по всему, Шеппард и Фазели были просто посредниками и помощниками, а доступ к компьютерным системам Twitter получил хакер под псевдонимом “Kirk#5270”. Судя по всему, это и есть Кларк, хотя ФБР продолжает расследование и всё ещё ищет новых подозреваемых.

Сейчас Кларк находится в тюрьме и обвиняется более чем в 30 уголовных преступлениях, включая организованное мошенничество, мошенничество с коммуникациями (wired fraud), кражу личных данных и взлом.

См. также:




Комментарии (76):

  1. denisromanenko
    /#21912226

    “Использовал социальную инженерию, чтобы убедить сотрудника твиттер предоставить ему данные доступа»


    Ну все понятно, это не взлом в классическом смысле, а просто наплевательское отношение сотрудников Твиттера к своей работе. Я бы на месте спецслужб еще бы и процедурами твиттера заинтересовался

    • maxzhurkin
      /#21912302

      Я бы на месте спецслужб еще бы и процедурами твиттера заинтересовался
      думается, у них нет на это полномочий, скорее всего, они могут только рекомендации предложить

    • fougasse
      /#21913520

      Так и Митник тогда не взломщик в «классическом» смысле.

  2. /#21912288

    В открытую переписывались через Discord… это же надо было так лохануться…
    Можно же для такого дела свой сервак поднять и шифрование настроить? Написать что-нибудь или тот же MyChat юзать на худой конец.

    • algotrader2013
      /#21912550

      Или просто съехаться оффлайн для проведения операции;)


      Ну и да, удивляет, что не анонимизировали биток через микшеры или перевод в крипту со встроенной анонимизацией. Или, может, таки пытались, но хозяева микшера под колпаком?

    • Darkhon
      /#21912912

      Discord вроде даже End-to-end шифрования не имеет. Даже если бы они просто использовали Signal, это было бы намного безопаснее. Даже секретные чаты в телеге. Хотя вариантов-то много: Tox, Retroshare, Element [Matrix], BitMessage, пусть даже Keybase. А вообще, можно поднять свой XMPP-сервер с onion-адресом, подключить GPG и OMEMO — получается неплохо, только замороченно.

      • freeExec
        /#21912958

        Но ведь не в этом их прокол

      • Lexicon
        /#21913614 / +1

        Дело всегда не в инструментах, а в людях


        Как инструмент, дискорд дает возможность не регистрироваться (гостевая авторизация) и не запрашивает номер телефона, давая регаться по простому мейлу, оставаясь при этом одним из самых популярных месседжеров с одной из лучших реализаций голосовой и видео связи и количеством сообществ(в т.ч. полулегальных), в котором легко можно потеряться

    • Alexufo
      /#21913928 / +1

      Откуда у вас убеждение, что канал слушали? Нашли вывод битков изза того что он поленился их обезличить, приехали к челу, зашли в комп и в Дискорд. А там то у него история.

      • /#21914344

        Разве я говорил, что их переписку обязательно слушали? Я говорил, что вполне могли прослушивать, а в том, чтобы для хоть какой-то гарантии безопасности поднять XMPP-сервер или корпоративный мессенджер нет ничего сложного.

  3. Canelow
    /#21912372

    ПОДРОСТКИ?!

    • gkozlenko
      /#21912392

      Думаю в оригинале было teenagers, так как самому старшему было 19 лет

      • NLO
        /#21912754

        НЛО прилетело и опубликовало эту надпись здесь

  4. MaksTR
    /#21912388

    Неслабо так детишки повеселились, на всю жизнь себе обеспечили кров и питание. Вот только хакерами назвать их как-то язык не поворачивается, банальные мошенники, которым повезло попасть на сотрудника-идиота Twitter-а. Да и особым умом они похоже не блещут, открытое общение в Discord и засвеченные документы — как-то не тянет на преступных гениев. Новость хорошая, всегда радует, когда прижимают мошенников, даже кода самого ситуация никак не затрагивает.

    • algotrader2013
      /#21912438

      От чего радость? Детишки сделали хорошую безобидную прививку обществу. В очередной раз напомнили, что не надо слепо верить тому, что пишут кумиры. Напомнили, что корпорации плевали на защиту данных, ведь такие вещи плохо измеряются через KPI, и не дают продвижения по службе. Лично мне не кажется справедливой тюрьма за такое. Уличная гопота, и та в разы опаснее, чем они

      • MaksTR
        /#21912568

        Если исходить из такой логики, то залез вор в дом — хорошо, ведь он напомнил, что форточки нельзя оставлять открытыми, ограбили ночью — прививка от беспечности. Мне кажется Вы путаете прививки и саму болезнь. Если бы детишки получив доступ к еккаунтам написали бы там всякую чушь, показали бы людям дырявость системы и напомнили бы о том, что ощущение защищенности часто бывает обманчивым — то да, это была бы однозначно прививка, но не в этом случае.

        >Уличная гопота, и та в разы опаснее, чем они
        Серьезно? А чем эти детишки отличаются от создателей шифровальщиков-вымогателей, фишинговых сайтов и т.д.? Они тоже безобидные, тоже всего лишь прививки делают? Думаю если бы у Вас мошенники увели бы деньги, то Вы бы не считали их действия хорошими и безобидными. Если бы детишки не решили, что имеют полное моральное право поживиться за чужой счет, то и последствий таких не было бы. Тюремное заключение в их случае это однозначно справедливо, это заставит новых потенциальных мошенников задуматься перед тем как лезть в чужой карман. Единственное, что чересчур жестко — это срок, я так понял, взлом каждого еккаунта им вменяется как отдельное преступление, суммарно срок получается немаленький, но в реальности, думаю, лет через 10-15 их отпустят.

        • Vsevo10d
          /#21913010 / +3

          >Уличная гопота, и та в разы опаснее, чем они
          >Серьезно?
          Вот серьезно, да. Если какие-то уроды пусть даже без умысла и сговора решили по пьяни кулаки размять, а человеку потом удалят селезенку или например будет сломана решетчатая кость и любой насморк потом для него может обернуться менингитом — таких персонажей надо изолировать от цивилизованного общества.
          А тут какой вред наступил? Ленивый школьник накидал ссылок на кошелек и на него чисто статистически из многомиллионной аудитории кто-то прислал деньги? В наш век вебкамщиц и стримеров это преступление? Ну да, мошенничество, что обещал 100% кэшбек и не вернул — наибанальнейшее обманутое доверие (я понимаю, от Маска как венчурного капиталиста можно еще ожидать подобной ссылки, но сцук Обама!!! Как можно на такое повестись?), но… собрать на кошелек годовую зарплату среднего менеджера — это реально тянет на 50 лет тюрьмы? Можно подумать, что он за взлом с угрозой национальной безопасности или за расчлененку какую-то осужден.

          • tmin10
            /#21913046

            По такой логике мошенники, которые названивают под видом сотрудников службы безопасности тоже вовсе не мошенники. А то, что могут у не очень технически подкованных людей увести деньги — так вообще мелочь, не избили же их. Так выходит?

            • algotrader2013
              /#21914002

              Ну вот не надо мух с котлетами мешать. Развод на деньги пенсионеров на эксплуатации страха потерять свои кровные, и халявщиков со свободными битками на эксплуатации желания поднять бабла без напряга — это одно и тоже? Жертвы прозвонов ведь добровольно ни в какую авантюру не лезли. А тут мухи сами полетели.

              Ну и да, реально, ребята сделали очень безобидное действие. Они могли запустить межрассовую бойню, качнуть фондовый рынок, а предпочли состричь годовую зп посредственного менеджера с халявщиков-авантюристов со свободным битком

          • MaksTR
            /#21913142

            Удивительная позиция. Это что получается, если ничего не отбили и не сломали, то и не преступление по сути? Если нож к ребрам приставят и заберут все что имеете, то все в порядке, ведь вреда здоровью не нанесли? А с ворами и мошенниками просто надо проводить разъяснительную беседу и отпускать на все четыре стороны?

            Относительно срока, я написал, что жестко получается, но что поделать, в штатах подобные преступления рассматриваются не как одно а как множество и сроки складываются. Еще не стоит забывать что там очень жестко относятся к финансовым преступлениям. Так что никто из жалости к прыщавым подросткам, решившим, что они чем-то лучше других, не будет создавать прецедент, который сможет повлиять на рассмотрение других подобных дел. Этим «хакерам» надо было раньше думать о последствиях. Закон суров, но это закон. Он призван не только наказывать за совершенные преступления, но и предупреждать новые угрозой наказания. Повторюсь, другие потенциальные мошенники и аферисты после этого дела несколько раз подумают, а надо ли оно им.

            • Vsevo10d
              /#21913606

              Удивительная позиция — это у господ экстраполяторов. Стоит тебе заметить, что темно-серое не есть черное, тебе сразу: «ах ты! по-твоему, темно-серое — это белое, что ли, мразь?».
              Что ж, разъясню. Любое преступление есть преступление — этого я не отрицаю. Как только есть факт нарушения закона — этим должны заниматься органы исполнительной власти, а виновные — наказаны судебной властью. Но последняя на то и существует, что у нарушения закона есть множество аспектов и мотивов.
              Я лично сталкивался и терпеть не могу мошенников. Но я питаю гораздо большую ненависть к людям, которым плевать на здоровье и жизнь жертвы. Первые на то и заморачиваются с, прости Господи, «социнженерией», потому что не будут резать человека за несчастные тысячу рублей в кармане.
              Так что да, есть большая разница между человеком, разводящим на ненужный водный фильтр или пожертвования несуществующему больному, человеком, говорящим тебе «просто достань кошелек и никто не пострадает» и человеком, сначала бьющим по затылку молотком, а потом шарящим карманы. Мошенник, в большинстве случаев, отнимает деньги, которые жертва признает возможным на что-то такое выделить. Заметьте, я не говорю ни слова, что это его полностью оправдывает или как-то обвиняет жертву.
              Что до сроков — то боязнь перед законом работает до определенного предела. Да, мамкины кулхацкеры не станут больше переписываться в дискорде, а кто-то не сворует вещи из магазина. Но ни разу еще боязнь получить большой срок не останавливала убийц, насильников, террористов или мафию. Вот и получается такое, что завинчивать гайки можно только за менее тяжкие вещи, приближая наркомана или мошенника к вот этим веселым персонажам, которые уперлись в свой физиологический потолок срока, заслуживая при этом куда больше.

              • MaksTR
                /#21913776

                >Но ни разу еще боязнь получить большой срок не останавливала убийц, насильников, террористов или мафию
                А можно спросить, на основе чего Вы это утверждаете? Не знаю насчет убийства, но вот на тяжелые телесные у меня есть несколько кандидатов, и останавливает меня только перспектива наказания. Так что как минимум один человек не совершил преступления из-за возможных последствий, и, на мой взгляд, таких как я много, если не большинство, разница лишь в тяжести потенциальных преступлений.

          • Alexufo
            /#21913942 / +1

            Извините, но через Твиттер Трампа можно обрушить акции и напугать Иран или толстенького диктатора надвигающимся авиаударом.

        • hahahaha
          /#21913578 / -2

          Эти подростки совершили ненасильственные преступления, ничья жизнь не была под угрозой, что радикально отличает их от уличной гопоты. Уроком это никому не станет, многие подростки чисто физиологически не способны усваивать такие уроки. Выплата ущерба плюс штраф в двойном размере, например, было бы более чем достаточно, принесло бы большую пользу обществу и вполне послужило бы этим подросткам подходящим уроком.

        • saboteur_kiev
          /#21913826

          Если исходить из такой логики, то залез вор в дом

          Вор залез не в дом, а… ну например ты пришел в кинотеатр, сдал там верхнюю одежду, и вор залез в гардероб.

      • DracoL1ch
        /#21912580

        У нас в РФ каждый день сотням людей звонят из СБ банков и напоминают, что корпорации плевали на защиту данных, и что не надо слепо верить никому, кто обещает тебе деньги или сохранить твои деньги. И че-то я не вижу ни развитой финансовой грамотности, ни устойчивости к мошенникам.

        • vmkazakoff
          /#21912768

          А при чем тут СБ банков? Мошенники же никаких реальных данных кроме имени и фамилии не знают, обычно (попросите их назвать отчество, и они смогут угадать только первую букву, т.к. только это показывает онлайн банк когда начинаете делать перевод).

          • DracoL1ch
            /#21912810 / +1

            Всё прекрасно они знают, давно прошли времена, когда они смотрели данные через сбер онлайн. Щас они и текущий баланс назвать могут.

            • vmkazakoff
              /#21913034

              Простите, не сталкивался. Звонят раз в неделю, но реальную проводку, баланс или последнюю операцию всегда обходят стороной, у них готовые скрипты есть, отточенные. Типа это не разрешено, без кодового слова мы не скажем, для этого нужен ваш CVS и номер карты...


              У меня стандартный стёб над ними — назовите мое отчество. Больше половины вешает трубку сразу.


              Может есть особо ушлые, но не думаю что им выгодно покупать такие данные (да ещё и свежие постоянно) ради наживы на лохах — тот кто не понял что это развод и так денег переведет, тот кто понял — его не убедить ничем уже.

              • vmkazakoff
                /#21913650

                Исправлюсь — имя отчество они называют, конечно, а фамилию нет. Сам себя запутал, пардоньте.

            • /#21914256

              Текущий баланс в каком банке?
              А то вот у меня в двух российских банках есть счета, но все мошенники звонят и говорят про тот в котором у меня счетов не было(если не считать его советскую инкарнацию), нет и не будет. Что они там назвать могут?

    • NIKOSV
      /#21913090

      То, что особо умом не блещут было понятно с самого начала. Это же надо имея такую власть, так топорно слить на банальное биткоин вымогательство на которое сегодня ведутся только идиоты или те кто в танке. А потом еще и по-тупому пытаться выйти в кеш на бирже под своими именами.

      Они могли обрушить акции любой компании или весь фондовый рынок (зашортив предварительно), устроить международный конфликт или начать даже войну.

      • pewpew
        /#21913204

        Судя по переписке, парень просто катил шары к гиковатой самке.
        Интересно, ему хоть перепало?

      • Sychuan
        /#21913630 / +1

        Это же надо имея такую власть,

        Вы преувличиваете значение твиттера
        Они могли обрушить акции любой компании или весь фондовый рынок (зашортив предварительно), устроить международный конфликт или начать даже войну.

        Из всего этого они могли сделать максимум первое. И то все акции вернулись бы в зад в течение дня, когда стало бы ясно что речь идет о взломе.

        • vmkazakoff
          /#21913672 / +1

          Ну вот, например: https://quote.rbc.ru/news/article/5eb2c9719a7947889ba1dfa3


          Но фондовый рынок или войну пожалуй и правда нет.


          Хотяяяя… если учесть что ребятам в принципе "повезло" и все звёзды сошлись — может ещё хорошо что они не стали пробовать) //сарказм

          • vmkazakoff
            /#21913678

            И если знать сегодня что завтра акции Теслы и ещё пары компаний просядут/поднимутся на пару процентов, то вообще можно очень круто заработать. Но для этого надо иметь первоначальный капитал.

            • tmin10
              /#21913940

              Или торговать с плечом, одолжив денег у банка.

        • NIKOSV
          /#21914250

          И то все акции вернулись бы в зад в течение дня, когда стало бы ясно что речь идет о взломе.


          И пары часов достаточно чтобы переместить миллиарды долларов из одних рук в другие.

          Примеры твитов:
          Трамп: Вспышка вируса вышла из под контроля, ввожу военное положение по всей стране
          Трамп: Снимаю свою кандидатуру на выборах
          Маск: Решил уйти из Теслы. Подробности скоро.
          Маск: Решил продать ХХ% акций Теслы фонду АБС
          Маск: Инвестировал $1 млрд. в Ethereum Fundation. Разрабатываем решение на смарт контрактах для контроля потребления/генерирования электричества.
          SEC: Инициируем расследование по поводу фабрикации финансовых отчетов компанией ХХХ

  5. tmpnick
    /#21912444 / +2

    * Взламываешь президентов и топ-бизнес планеты *
    * Показываешь свои права для вывода денег *
    * Садишься в тюрьму на 20 лет *

    Ребят, это просто гениально!

  6. tester12
    /#21912618 / +2

    Если всё это правда, то уровень безопасности у Твиттера приблизительно нулевой.

    А если нет, то ФБРщики арестовали случайно выбранных компьютерных хулиганов и типа «раскрыли дело».

    Не знаю, какая из версий лучше.

  7. Rasato
    /#21912660 / +1

    Как-то ну очень слабо верю в данную версию. У нас в компании если кто мне и пишет, то только с корпоративной почты, либо бизнес скайп, либо еще пара внутренних групп в разных месенджерах, но в любом случае, я легко могу пробить является ли написавший сотрудником компании. Остальное — сразу в спам. Особенно, когда идет просьба что-то предоставить.
    Я тоже работаю с пользовательскими данными, и у нас чуть ли не каждую неделю повторяют, что кому и как можно делать с доступом к этим данным.

    • stardust1
      /#21912746

      я легко могу пробить является ли написавший сотрудником компании

      И как же вы узнаете кто сидит на другом конце линии?

      Люди неидеальны и совершают ошибки. Была же недавно новость, где «супер-пупер» известный специалист по безопасности сам попался на развод.

      • Rasato
        /#21912800

        Вы неправильно меня поняли. Если кто-то взломает рабочий аккаунт сотрудника и будет мне писать, то я не смогу это проверить, разве что попробую уточнить у его начальника за какой такой надобностью он запрашивает доступ. Здесь же схема вообще была дикая, когда какой-то левый человек написал и ему поверили.

  8. richman5
    /#21912790

    А есть какие-либо способы подделать доказательства? Кто может это проверить?

  9. vmkazakoff
    /#21912796

    Больше всего удивляет не то, что какой-то то (владеющий возможностью входа в админку) сотрудник дал доступ другому "сотруднику" после сообщений в месенджер… Ну пусть даже его заболтали, коварный социнжиниринг, гипноз через текст… Не знаю. Пусть будет на его совести.


    Но вот что реально вымораживает: у твиттера админка через которую можно стать полубогом и писать от имени любого аккаунта работает через вебморду просто так? Тогда я вообще не понимаю почему ее не ломают каждые несколько дней, кусочек то лакомый.


    Вроде ж можно как минимум эту вебморду оставить только внутри сети организации, доступ в сеть внутреннюю через VPN, а сам VPN по RSA токену. Это ж уже ну просто на уровне гигиены цифровой, не? И фиг бы у этих ребят что вышло бы. Или они развели сотрудника на выдачу ключа, инструкции какой впн нужен, узнали какой адрес подключения, адрес самого сервиса, сбросили пин для rsa и прочее и прочее и при этом не спалились?


    Чудесатая ситуация.

    • Xambey
      /#21912816

      Поддерживаю. Если вебморда такой админки и торчит наружу, что не очень хорошо, то тут как минимум должна быть двухфакторная авторизация, а то и вход по персональному сертификату

      • wataru
        /#21913310

        Наверняка ковид и массовый переход на удаленку понизил общую безопасность. Или у твитера все совсем плохо.

        • vmkazakoff
          /#21913320

          Ну это совсем зашквар, если в связи с выходом на удаленку там просто окрыли админку наружу.


          Даже банальный впн решил бы проблему скорее всего (эти Буратино не факт что справились бы), а уж двухфакторка даже для клиентов твиттера есть, для админов должна быть вообще обязательна. Я просто не могу себе представить что они там у себя думают, если к ним заходят как к себе домой.


          Ну или ребятам настолько свезло что они зашли по пути которого никто не ожидал именно по причине того что нормальный хакер даже пробовать не станет, ибо уверен что не проканает...

          • Lexicon
            /#21913632

            Возможно лица, которым регулярно хочется посидеть в админке не настолько осведомлены, чтобы настроить VPN и слишком богаты, чтобы кто-либо, кроме президента им рассказывал


            Возможно студент представлялся не сотрудником твиттера, а кем-то, кого нельзя называть


            /теория заговора

    • uldashev
      /#21913860

      Тогда я вообще не понимаю почему ее не ломают каждые несколько дней, кусочек то лакомый.

      Потому что останавливает от противоправных действий не сложность совершения преступления, а неотвратимость наказания, нашлись имбецилы, которые додумались хакнуть it-гиганта, зарабаотали 100к (годовая зп толкового itшника в штатах), получили от 5 до 20 лет заключения — это идеальный кейс, чтобы донести до миллионов мамкиных хацкеров, что сюда соватся не стоит. Умные поймут месседж, а глупые не осилют взлом, все счастливы, и только несколько недоумков сидят, являясь наглядным примером, как делать не надо.

  10. AlexNewman
    /#21912878 / +2

    Твиттер совсем не жалко, увели у них базы данных паролей и логинов так надо лучше было следить за своей безопасностью, не допускать утечек.

    А вообще твиттером никогда не пользовался и не собираюсь даже, не понятно зачем данная соцсеть нужна вообще.

    • Sychuan
      /#21913640

      А вообще твиттером никогда не пользовался и не собираюсь даже, не понятно зачем данная соцсеть нужна вообще.

      Я тоже не пользуюсь (т.е. не зарегестрирован). Но зачем столько снобизма? Я вот, например, регулярно просматриваю твиттер Hardmaru. Много интересного на тему ИИ именно в той области, что меня интересует.

    • uldashev
      /#21913888

      Твиттер совсем не жалко, увели у них базы данных паролей и логинов так надо лучше было следить за своей безопасностью, не допускать утечек.

      На прошлой неделе, мой товарищ, задержавшись на работе, поздно возращался домой, его остановили 5 гопников, разбили лицо, отобрали ценности, таким образом вы считаете, что это вина моего товарища, что он не носил с собой винтовку и не следил за своей безопасностью? В современном мире, граждане и юр.лица отстегивают главному бандиту (государству), чтобы жить в безопасном мире, и не заботится самостоятельно о своей безопасности, так чем отличаются it компании от других?

      • geher
        /#21913904

        так чем отличаются it компании от других

        От других серьезных компаний, работающих с информацией или материальной собственностью других людей — в вопросе безопасности практически ничем.
        От простого человека (на которого могут напасть гопники) — тем, что они должны заботиться не столько о своей безопасности, сколько о безопасности своих клиентов. А для этого им просто придется нормально позаботиться самим о своей безопасности, ибо безопасность собственности клиентов зависит от их собственной безопасности. Ничего не поделаешь — работа такая.

        • uldashev
          /#21913950

          Так куча средств отстегивается главному бандиту за защиту от преступного элемента, и тут крыша заявляет: не, это твои клиенты, сам заботься об их защите. Так за что налоги платятся, если государство отказывается от выполнения своих главных обязанностей, предоставления защиты?

          • geher
            /#21914018

            Не все так просто, как на самом деле.
            Если телохранитель понадеялся на государство и не прикрыл клиента от гопника, то он такой никому не нужен.
            Если ИТ контора не позаботилась о безопасности информации своих клиентов, понадеявшись на государство, то это плохая ИТ компания. И по хорошему клиенты такой компании свои данные отдавать не должны.
            Ведь государство в силу своего положения, конечно, должно ловить преступников (в том числе тех, кто "обижает" клиентов компании через "обиду", причиняемую самой компании), но "смотреть в глаза" клиентам компании, если что, будет таки не государство, а сама компания. А потому нормальные банки свои деньги хранят не кучей на улице, документы у адекватного нотариуса находятся в сейфе, а офис на сигнализации и т.д, и т.п.

            • uldashev
              /#21914070

              Вот, вы совершенно правы, тут то мы и докопались до противоречия, с одной стороны it-компании все же должны защищаться сами, но с другой стороны, не имеют права на ответные действия (как телохранители), т.е. лишены самой эффективной из защит — превентивного удара, компания, даже если обнаружила попытку взлома, не может послать своих торпед к хакерам, и решить вопрос кардинально, а вынуждена быть вечной терпилой, и при таких раскладах, чтобы it компании не делали, их будут хакать, просто по определению.
              Мой посыл: в данных условиях twitter сделал минимальные телодвижения, для обеспечения безопасности, усиление безопасности привело бы к оверхеду по затратам + снижение удобства пользователей и работников, государство отработало штатно, преступники схвачены и будут наказаны, все счастливы. В нынешней ситуации с законами, большего ожидать нет смысла, будут хакать, будут ловить, если куш большой, то будут хакать профессионалы, вплоть до спецслужб, и соответственно попадаться будут реже и никакими затратами на ИБ это не исправить.

              • geher
                /#21915850

                но с другой стороны, не имеют права на ответные действия (как телохранители), т.е. лишены самой эффективной из защит — превентивного удара, компания, даже если обнаружила попытку взлома, не может послать своих торпед к хакерам, и решить вопрос кардинально, а вынуждена быть вечной терпилой, и при таких раскладах, чтобы it компании не делали, их будут хакать, просто по определению.

                Банки (кстати, внезапно, тоже вполне ИТ компании, поскольку значительная часть их бизнеса — предоставление услуг в сети) тоже не могут нанести превентивный удар. Но почему-то не отмазываются, что их отделения будут грабить просто по определению, а принимают различные меры по защите: банкоматы бронируются, чтобы предотвратить механический взлом, деньги в сейфе (кроме тех, что в кассе на текущие операции, без этого банк просто не сможет работать), инкассаторы вооружены и в бронежилетах, а авто инкассаторов обычно бронировано, соединения в сети обычно шифруются (а если нет, то в морг такой банк), вводятся различные протоколы безопасности, и т.п.


                усиление безопасности привело бы к оверхеду по затратам + снижение удобства пользователей и работников

                Тогда вопрос, а зачем было тратить средства на уменьшение безопасности?
                Я про те самые средства, которые были затрачены на механизм, позволяющий писать сотрудникам от имени клиента, т.е. сознательно вносить искажения в данные клиента, причем такие, которые могут негативно отразиться на репутации и доходах клиента.


                все счастливы

                Ага, особенно те, чьи учетки взломали. Счастливы, что от их имени опубликовали всего лишь бред про битки, а не что-то более серьезное.


                будут хакать профессионалы, вплоть до спецслужб, и соответственно попадаться будут реже и никакими затратами на ИБ это не исправить.

                Когда хакают профессионалы, то оно понятно. Никакие затраты на ИБ не окупятся.
                Когда "хакают" свои же сотрудники, причем в рамках исполнения своих должностных обязанностей (я все про тот самый механизм публикации от имени пользователя), это уже как-то…
                Опять же, ущерб репутации при взломе в денежном выражении может быть (и, скорее всего, будет) гораздо больше, чем сэкономленные на безопасности средства.
                Так что хотя бы от всякой мелкой шушеры защититься надо хорошо, чтобы хотя бы детишки не взламывали просто так от скуки.


                Понятно, что в данном конкретном случае (Твиттер) в какой-то степени защита от взлома была. Но наличие описанных в сети после взлома инструментов и столь незначительные персоны взломщиков как-то настораживают. Причем первое в большей степени.

                • uldashev
                  /#21918386

                  Вот дались Вам эти Банки, да, у них есть толстые сейфы, криптография и прочие протоколы безопасности, но, внезапно, тоже грабят, и грабят те, кто должен был защищать: www.rbc.ru/society/05/07/2019/5d1f1b3e9a7947cd1960f403
                  Остальных от попытки ограбления удержит не навороченность охранной системы, а неотвратимость наказания, а сейфы и бронированные банкоматы не для того, чтобы предотвратить ограбление, а для того, чтобы задержать преступников до приезда вежливых людей с автоматическим оружием.
                  Вы поймите, если сейчас признать, что twitter был не прав, что его хакнули, это обернется раздутием бюджетов безопасников, а в результате все равно будут ломать, как ломают Amazon и IBM (Призраки в облаках habr.com/ru/post/484236). Ну ладно it-гиганты, они потянут и юристов и раздутые бюджеты, а что будут делать маленькие компании и стартапы? Закрываться, по причине, что не могут выполнить все предписания по безопасности?
                  Ох уж эти security people.

    • /#21914422

      А вообще твиттером никогда не пользовался и не собираюсь даже, не понятно зачем данная соцсеть нужна вообще.

      А я вот AlexNewman'ом никогда не пользовался и непонятно зачем он вообще нужен. Предлагаете устранить или взломать?

  11. tmin10
    /#21913066

    Зачем вообще твиттеру возможность писать от имени аккаунтов? Там и президенты и бизнесмены, а тут от их лица любой модератор может написать… Одно дело возможно в базу добавить, а другое прямо из админки...

    • avengerweb
      /#21913568

      Скорее всего есть популярная кнопка, как во всех админках: Войти как Илон Маск.

      • iig
        /#21914326

        Чистое заранее спланированное вредительство. "Войти как" — возможно, это зачем-то нужно. "Написать как" — зачем??

    • algotrader2013
      /#21914428

      Ну да, хрень какая-то. Я бы ещё понял, если бы была возможность написать в аккаунте, но от имени администрации и с отличающимся по дизайну твитом (например, в тех случаях, когда кто-то делает противозаконные призывы или скам, и админы хотят отмежеваться от этого контента, предупредив читателей, что твиты тут личное мнение автора, и вообще похожи на скам).

    • vorphalack
      /#21915022

      там, вроде, говорилось, что эти ребятки меняли почту на аккаунтах на подконтрольную, сбрасывали пароль, и писали, получив контроль над учеткой, а не из вебморды.

  12. razielvamp
    /#21913298

    Мда… Похоже у "хакеров" компьютерных знаний маловато было. Интересно, они хоть vpn-то пользовались?


    Ну и факт того, что вычислили по "анонимной" криптовалюте, интересно показательный.


    С безопасностью в больших корпорациях, похоже, совсем беда...

    • tmin10
      /#21913432

      Проблема же была не в самой крипте, а в выводе?

    • Sychuan
      /#21913644

      вычислили по «анонимной» криптовалюте, интересно показательный.

      Криптовалюта анонимная, а вот вывод не совсем. Или по крайней мере для анонимного вывода нужно предпринять особые действия. А так Сатоси Накомото никто не вычисли же

  13. gdt
    /#21913340

    Хотите верьте хотите нет, хотел как-то начать пользоваться твиттером — однако мой аккаунт уводили раз за разом. При этом не было никаких писем от Твиттера типа «Вы точно хотите восстановить доступ?», не было ни одной привязки ни к одному устройству, и всё равно методично раз за разом я терял доступ к своему аккаунту. В поддержку пробиться так и не получилось, пришлось просто забить. Так что, честно говоря, я совсем не удивлён. Странно что увод аккаунтов только сейчас получил такую огласку.

    • tmin10
      /#21913426

      Хм, а второй фактор тоже не помогает?

      • gdt
        /#21915482

        К сожалению, это было уже несколько лет назад, так что я не помню деталей. Восстановлю доступ ещё раз, проведу эксперимент :)

  14. GUISSENN
    /#21913574

    Шеппард обвиняется в «компьютерном вторжении» (5 лет), участии в организованной группе для мошенничества (20 лет) и отмывании денег (20 лет).

    45 лет срока в сумме? )) Серьезно?) Твиттер ему еще благодарен должен быть за этот краш тест.
    Ощущение, что он человека убил, у которого в последствии украл миллион долларов))

    Тот момент, когда мог приехать в Россию, заработать криминалом, отсидеть 3-4 года и выйти миллионером.

  15. Mitya78
    /#21913576

    Какие-то неадекватные сроки в США. А главное, что не дают никакого результата.

    • tester12
      /#21913646

      Результат (как я понимаю) в том чтобы запугать арестованного 45 годами, принудить к сотрудничеству, выявить сообщников, вернуть деньги, понять механизм атаки и т.п.

  16. VAE
    /#21913848

    Б.Гейтс тоже начинал с бухгалтера, но время было другим.