Sexta à tarde, Jack Dorsey’s 4.2 milhão Twitter seguidores tiveram uma surpresa desagradável. Um grupo de vândalos obteve acesso à conta e usou esse acesso para espalhar um fluxo de mensagens e plugs ofensivos no canal de discórdia de seu grupo. Em 15 minutos, a conta estava novamente sob controle e o grupo foi banido do Discord, mas o incidente foi um lembrete das sérias vulnerabilidades mesmo nas contas de maior perfil e do quão insegura a autenticação por telefone se tornou.
Os hackers entraram TwitterO serviço de texto para tweet, operado pelo serviço adquirido Cloudhopper. Usando o Cloudhopper, Twitter os usuários podem postar tweets enviando mensagens de texto para um número de código curto, geralmente 40404. É um truque útil para o SimplePhones ou se você simplesmente não tem acesso ao Twitter aplicativo. O sistema requer apenas a vinculação do seu número de telefone ao seu Twitter conta, o que a maioria dos usuários já faz por motivos de segurança separados. Como resultado, o controle do seu número de telefone geralmente é suficiente para postar tweets em sua conta, e a maioria dos usuários não tem idéia.
Como se vê, controlar o número de telefone de Dorsey não foi tão difícil quanto você imagina. De acordo com um Twitter declaração, uma “supervisão de segurança” pelo provedor permite que os hackers obtenham controle. Em termos gerais, esse tipo de ataque é chamado de hacking no SIM – essencialmente convencendo uma operadora a atribuir o número de Dorsey a um novo telefone que eles controlavam. Não é uma técnica nova, embora seja usada com mais frequência para roubar Bitcoin ou alto valor Instagram alças. Muitas vezes, é tão simples quanto conectar uma senha vazada. Você pode se proteger adicionando um código PIN à sua conta da operadora ou registrando contas da Web como Twitter através de números de telefone fictícios, mas essas técnicas podem exigir muito do usuário comum. Como resultado, a troca de SIM se tornou uma das técnicas favoritas dos criadores de problemas on-line – e, como descobrimos hoje, funciona mais frequentemente do que você imagina.
Chuckling Squad, a equipe que assumiu a conta de Dorsey, vem praticando esse truque há anos. Seus ataques mais proeminentes até o momento foram uma série de influenciadores on-line, com até dez figuras diferentes antes de Dorsey. Eles parecem ter um truque em particular com a AT&T, que também é a transportadora de Dorsey, embora não esteja claro exatamente como eles ganharam o controle. (A AT&T não respondeu a uma solicitação de comentário.)
A história desse tipo de hack é muito mais antiga que o Chuckling Squad ou até mesmo o SIM Swapping. Qualquer sistema que facilite o tweet de um usuário também tornará mais fácil para um hacker assumir o controle da conta. Em 2016, Dorsey foi alvo de um ataque semelhante que aproveitou os plug-ins de terceiros autorizados, que muitas vezes foram abandonados, mas ainda mantêm a permissão para enviar tweets para a conta. Essa técnica se tornou menos proeminente à medida que as técnicas de troca de SIM se tornaram mais amplamente compreendidas, mas os objetivos básicos do vandalismo de movimentação permanecem praticamente inalterados.
Ainda assim, o incidente é embaraçoso para Twitter, e não simplesmente por causa da disputa imediata para recuperar o controle da conta do CEO. O mundo da segurança sabe sobre ataques de troca de SIM há anos, e a conta de Dorsey já havia sido vandalizada antes. O simples fracasso em garantir o controle da conta do CEO é um fracasso significativo para a empresa, com implicações muito além de alguns minutos de caos. Esperançosamente, Twitter aprenderá com o incidente e priorizará uma segurança mais forte – talvez até mudando Twitter verificação longe do SMS – mas, considerando o histórico da empresa, duvido que muitas pessoas estejam prendendo a respiração.