La técnica simple que secuestró la cuenta de Twitter de Jack Dorsey

El intercambio de SIM está en todas partes, y Twitter claramente no está listo para ello.

Este viernes por la tarde más de 4.2 millones de seguidores de Jack Dorsey en Twitter tuvieron una sorpresa desagradable. Un grupo de vándalos había obtenido acceso a la cuenta, el cual utilizo para mandar mesajes ofensivos y enchufes para el canal de discordia de su grupo. Después de 15 minutos, la cuenta de Jack Dorsey volvió a estar bajo control y el grupo fue excluido de Discord, pero este incidente solo es un recordatorio de las vulnerabilidades graves incluso de las cuentas de ḿas alto perfil, y cuán insegura se ha vuleto la autenticación basada en el teléfono.

Los piratas informáticos entraron a través del servicio de texto a tweet de Twitter, operado por el servicio adquirido Cloudhopper. Con Cloudhopper, los usuarios de Twitter pueden publicar tweets enviando mensajes de texto a un número de código corto, generalmente 40404. Es un truco útil para SimplePhones o si simplemente no tiene acceso a la aplicación de Twitter. El sistema solo requiere vincular su número de teléfono a su cuenta de Twitter, lo que la mayoría de los usuarios ya hacen por razones de seguridad separadas. Como resultado, el control de su número de teléfono suele ser suficiente para publicar tweets en su cuenta, y la mayoría de los usuarios no tienen idea.

Resulta que obtener el control del número de teléfono de Dorsey no fue tan difícil como parece. Según una declaración de Twitter, una “supervisión de seguridad” por parte del proveedor permitió que los piratas informáticos obtuvieran el control. En términos generales, este tipo de ataque se llama piratería de SIM, esencialmente convencer a un operador de que asigne el número de Dorsey a un nuevo teléfono que controlaron. No es una técnica nueva, aunque se usa con más frecuencia para robar Bitcoin o identificadores de Instagram de alto valor. A menudo, es tan simple como conectar una contraseña filtrada. Puede protegerse agregando un código PIN a su cuenta de operador o registrando cuentas web como Twitter a través de números de teléfono ficticios, pero esas técnicas pueden ser demasiado para el usuario promedio. Como resultado, el intercambio de SIM se ha convertido en una de las técnicas favoritas de los alborotadores en línea, y como descubrimos hoy, funciona con más frecuencia de lo que piensas.

Chuckling Squad, el equipo que se hizo cargo de la cuenta de Dorsey, ha estado jugando este truco durante años. Sus ataques más destacados hasta este momento han sido una serie de personas influyentes en línea con hasta diez figuras diferentes que fueron atacadas antes de Dorsey. Parecen tener un truco particular con AT&T, que también es el operador de Dorsey, aunque no está claro exactamente cómo obtuvieron el control. (AT&T no respondió a una solicitud de comentarios).

La historia de este tipo de pirateo es mucho más antigua que Chuckling Squad o incluso SIM Swapping. Cualquier sistema que facilite que un usuario twittee también facilitará que un hacker tome el control de la cuenta. En 2016, Dorsey fue blanco de un ataque similar que aprovechó los complementos de terceros autorizados, que a menudo se han abandonado pero aún conservan el permiso para enviar tweets a la cuenta. Esa técnica se ha vuelto menos prominente a medida que las técnicas de intercambio de SIM se han vuelto más ampliamente entendidas, pero los objetivos básicos del vandalismo no han cambiado.

Aún así, el incidente es vergonzoso para Twitter, y no simplemente por la lucha inmediata para recuperar el control de la cuenta del CEO. El mundo de la seguridad ha sabido sobre los ataques de intercambio de SIM durante años, y la cuenta de Dorsey había sido destrozada antes. La simple falla en asegurar el control de la cuenta del CEO es una falla significativa para la compañía, con implicaciones que van más allá de unos pocos minutos de caos. Con suerte, Twitter aprenderá del incidente y priorizará una seguridad más fuerte, tal vez incluso alejando la verificación de Twitter de los SMS, pero dado el historial de la compañía, dudo que muchas personas contengan la respiración.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: