Meghackelték a Apple és számos ismert ember, vállalat Twitter fiókját, hogy kriptovaluta spam-et terjesszenek

Titkosítás, biztonság, privát szféra

Széles körű támadást indítottak a Twitter ellen, ami során számos nagyvállalat és ismert ember Twitter fiókja esett áldozatul. A fiókokat Bitcoin-csalásra használták fel. Így esett meg, hogy például az Apple, Barack Obama is "arról tweetelt", hogy Bitcoin-t "adományozna" a COVID-19 áldozatainak. A csalás mások mellett az alábbi fiókokat érintette:

  • Apple
  • Joe Biden
  • Elon Musk
  • Jeff Bezos
  • Bill Gates
  • Mike Bloomberg
  • Kanye West
  • Uber
  • Floyd Mayweather
  • Cash App
  • Warren Buffett
  • Barack Obama
  • MrBeast

A Twitter megkezdte a rend helyreállítását:

( golgota | 2020. 07. 16., cs – 08:33 )

Trump megigerte, hogy ki fog baszni a twitterrel. Hat a kis (hacker) katonai megtettek.... 

Tuti biztos, hogy buta a Trump. A New York Times vélemény rovatának főszerkesztője most távozott az egyoldalú tájékoztatás miatt, pl.: 4000 db véleménycikk jelent meg Trumpról amiben hülyének állították be ( nem tudni mennyi idő alatt ).

https://888.hu/censored/lemondott-a-fuggetlen-new-york-times-szerkeszto…

Biztosan sokat találkoztál Trumppal és jól ismered ... 

4000 db véleménycikk jelent meg Trumpról amiben hülyének állították be ( nem tudni mennyi idő alatt ).

Egyrészt a hivatkozott cikk nem azt írja, hogy hülyének állítják be (a négyezredik publicisztika arról, hogy Donald Trump páratlan veszély az országra és a világra.), másrészt - lehet, hogy csak én értelmezem rosszul - ez a 4000-es szám csak egy költői túlzás, nyomatékosítva a nevezett médium túlkapásait.

Aztán ott van az is, hogy szerintem nem kell sokat találkozni valakivel ahhoz, hogy véleményt alakítsunk ki róla - főleg ha az illető egy vezető hatalom elnöke, és elég sokszor kénytelen állást foglalni dolgokban.

Amúgy elég fura ez a cikk pont a 888 oldalán... :)

Az a fickó amúgy nő :) Nem írta, hogy gond lenne a Trumpot ekéző cikkekkel, csak a számukkal és azzal, hogy más vélemény nem volt megjelenítve. Ami miatt sír az a nagyfokú polarizáltság az újságnál, ami sajnos mindenhol egyre jellemzőbb csak ugye a NYT az egykoron egy független etalon volt (legalábbis a levele szerint). Az is érdekes, hogy valahol fájlaja hogy ugyanezen cikkek rengeteg click-et hoztak az újságnak... És ugye, ha az olvasóknak erre van igényük ők meg ezt szogálják ki akkor a "független" esetleg ellenkező vélemények kiszorulnak. Valahol ez is elkeserítő számára, hogy az újság csak az olvasóira koncentrál a saját táborának beszél és nem a függetlenség idealisztikus mércéje szerint készül. A levél szerint ez már illeberális légkört alakított ki az újságnál ami szerinte borzasztó. (Ő azt írta heartbreaking). Ezért kicsit pikáns ez a 888-tól, hogy leközölte. :) Amúgy független véleményrovatra jó példa a forgalomcsillapításról az index pl.: https://index.hu/24ora/?cimke=forgalomcsillap%C3%ADt%C3%A1s+vita Pro és Kontra véleménycikkek hosszú sora... Bár ezt is szép dolog megjelentetni: https://index.hu/kultur/media/2020/06/24/index_fuggetlenseg_mit_jelent_neked_az_index/viktor_azzal_tennetek_magatoknak_a_legjobbat_ha_megszunnetek/ meg ezt https://index.hu/kultur/media/2020/06/24/index_fuggetlenseg_mit_jelent_neked_az_index/balint_az_index_egy_szukseges_rossz/ Szóval a régi mondást: a hír szent a vélemény szabad már csak nyomokban találni a mai média piacon...

Trump közszereplő, nyilvános döntésekkel és bejáratott twitter csatornával. Ezekből szerintem lehet - valamennyire megalapozott - véleményt formálni róla.

Az 50 és 30 km/h sebességű indexes forgalomcsillapítós autós példánál nem is kellett volna grafikon, egyenlettel us egyszerűen ki lehetett volna számolni, hogy a gyorsabb autónak fékezéskor mennyi lesz még a megmaradó sebessége. (40 km/h, ha 0 s a reakcióidő) Egy kérdés: Ez emelt szintű, vagy középszintű matematika/fizika érettségin lehetne feladat? https://index.hu/velemeny/olvir/2020/07/10/sebesseghatar_forgalomcsilla…

Tovabbolvashatnad a szinonimaszotarat, vagy azt a kis fuzetet, amibe az erdekes szavakat felirtad, hogy barmikor bedobhasd az irasaidba, mert kezd uncsi lenni a "fosodratu, komformista" meg az a harom-negy szo, amitol intelligensebbnek akarsz tunni. Kicsit megkopttattad mar oket. :D

Mondjuk megynered a "hasznalj egy mondatban minel tobb teljesen felesleges es blod szot" versenyt. :D

Az 5G-s thread-eden besirtam annyira izzadsagszaguan probalsz intelligensnek tunni. :D

We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.

A Twitter alkalmazottakat szedték rá social engineering módszerrel, akik valószínűleg kiadtak olyan adatokat, amivel hozzáférhettek a fiókokhoz "hátulról". Nem az ügyfeleket törték meg, 2FA van a fiókokon, azzal sokkal többet kellett volna dolgozni és mass pawnage esélye sokkal kisebb.

trey @ gépház

+1

A 2FA csak arra jo, hogy te magad ne ferj hozza az adataidhoz, ha kizarod magad a lakasodbol es behal a smartphone-od. Mindenki mas hozzafer ehhez-ahhoz attol meg, nem a jelszo lesz a szuk keresztmetszet, ha odafigyelsz mit milyen jelszoval vedesz, a 2FA eroltetese baromsag (kiveve bank, oda tenyleg kell)

Bizonyos esetekben a 2FA maga a támadási vektor, amikor áthekkelt SIM kártyákkal (SIM-swapping) szerzik meg az így védett™ fiókókat, teljes jogosultsággal. Az áldozat meg szopjon, veszítse el a pénzét, meg szarakodjon személyi-igazolvány küldözgetéssel, meg hosszas levelezéssel Indiába kispúrkodott költségoptimalizált™, inkompetens supportosokkal.

Mert a bekapcsolt 2FA account lenyúlásához elég egy SIM-swap és egy jelszó reset az adott recovery telefonszámra, ami természetesen minden esetben ugyanaz lesz, mint a 2FA telefonszám. Ez bőven elég ahhoz, hogy leutaljanak pénzt a bankszámládról, vagy a bitcoin-tárcádból és elég hozzá a telefonszámodat tudni.

Ha viszont nincs 2FA bekapcsolva, és mondjuk csak egy másik e-mail címmel lehet recoveryzni, akkor kapásból legalább 1 e-mail fiók jelszavát már meg kell szerezni. Ami szintén lehetséges, de vajon mit szokás jobban eltitkolni? A telefonszámot, vagy a jelszavakat? :)

Amit leírtál, az technikailag igaz, de tudomásom szerint egyetlen olyan szolgáltatást sem használok, ahol egy telefonszám elég lenne a jelszó visszaállításához, pláne nem olyan, ahol pénzt lehet tartani. Nem tudom, mennyire lehet jellemző az, hogy a telefonszám elég.

Olyannal már nem is bonyolítanám a sztorit, hogy mi van, ha évente 2500 forintból fenntartasz egy prepaid telefonszámot csak néhány kritikusabb szolgáltatás 2FA-ja miatt, ami sehol máshol nincs megadva. :)

tudomásom szerint egyetlen olyan szolgáltatást sem használok, ahol egy telefonszám elég lenne a jelszó visszaállításához

Ezt jól teszed. Azonban a legnépszerűbb szolgáltatók (Gmail, Facebook, Twitter stb.) fiókjai ettől még mind lenyúlhatók így és ez által a 2FA jelenlegi megvalósításai kevésbé biztonságosak, mint egy erős jelszóval védett 1FA, ahol csak másodlagos e-mail címre lehet recoveryzni. Persze, a biztonság illúzója mindennél többet ér. Kivéve, amikor épp fel kell ébredni. Mint például most.

Olyannal már nem is bonyolítanám a sztorit, hogy mi van, ha évente 2500 forintból fenntartasz egy prepaid telefonszámot csak néhány kritikusabb szolgáltatás 2FA-ja miatt, ami sehol máshol nincs megadva. :)

Akkor ott nagyobb biztonságban vagy, mint jelszavas 1FA-val vagy 1 privát telefonszámos 2FA-val.

Azonban a legnépszerűbb szolgáltatók (Gmail, Facebook, Twitter stb.) fiókjai ettől még mind lenyúlhatók így

Most kipróbáltam a spam-gyűjtő gmail fiókomon a jelszó visszaállítást. Ha van recovery telefonszám, arra küld egy SMS kódot, amit ha beírsz, akkor a recovery email címre is küld egy kódot, de mindkettő kell. Ha csak az egyik van meg, akkor a supporthoz irányít.

Azért reméltem, hogy ennyire nem bénák, akik ott dolgoznak. :)

Itt most nagyon gyengen terelsz Hajbi.

Olyan nincs, hogy "2FA telefonszam", ha mar altalanositunk, akkor maradjunk annal, hogy a 2FA legtobb esetben egy applikacio a telefonon, amit ujjlenyomattal kell nyitni. Mas helyeken, bizonyos penzintezeteknel pedig RSA token, de mindket esetben a tudason (jelszo) kivul egy fizikai eszkoz. Valoban van arra is lehetoseg, hogy a 2FA egy SMS kod legyen, de szerintem egyre kevesbe jellemzo.

A SIM-swaprol pedig ugy beszelsz, mintha minden sarki fuszeresnel lehet kerni egyet, o meg annyit kerdez, hogy ketto lett, maradhat?

Sok dologban tudok igazat adni neked, de hogy az egyfaktoros authentikacio is eleg, mert a 2FA-t konnyu feltorni az egesz egyszeruen hulyeseg. Hulyek (tapicskoloek) ellen persze nincs vedelem, de ez nem a rendszer hibaja.

Ezen kivul a social engineering puszta lete nem invalidalja a hozzaferes felhasznaloi oldali vedelmet. Ugyis feltorik belulrol, akkor minek vedeni? Ez is egy baromsag, mar bocs. Tobbfele tamadasi vektor letezik, amelyek vedelmet kulonfele modszerekkel kell megvedeni. 

Abban az esetben, ha a 2FA egyik faktora a telefonon küldött SMS, akkor igen (bár jelszót azért szerezni kell hozzá, de ez más kérdés). Sok más olyan 2FA megoldás létezik, ami nem SMS-en dolgozik. Tanúsítvány alapon, vagy OTP rendszerek (digipass és társai), ezeket egy SIM-swap és hasonló megoldással nem vered át.

ha odafigyelsz mit milyen jelszoval vedesz, a 2FA eroltetese baromsag (kiveve bank, oda tenyleg kell)

Miért pont a banknál nem baromság? Az emailjeim megszerzésével sokkal nagyobb kárt tudna valaki okozni nekem, mint ha mondjuk a folyószámlavezető bankom netbankjába be tud lépni, ahol max 1 havi fizum van.

Neked 1 havi, nekem tobbhavi bevetel van ott. Mert nem talaltam neki jobb helyet. A legjobb befektetesekhez meggyozodesem, hogy hirtelen hozzaferheto penz kell.

Amire ki akartam lyukadni:

Default usernek oke, hogy eroltetik a 2FA-t.

De

Ha en tudom, hogy mi az az eros jelszo, miert nem jo mindenhova ugyanazt a jelszot hasznalni, stb., akkor nekem legyen mar lehetosegem belepni a GMail-embe kulfoldi IP-rol akkor is, ha epp lemerult a telefonom, amin a Google Authenticator van.

Tehat amit en akartam mondani (Hajbazer mas iranyba vitte a topikot):

0.01% esellyel feltorik mert 1FA, de eros, mashol nem hasznalt jelszo > 0.001% esellyel feltorik, mert 2FA, de cserebe ha otthontol tavol lemerul a telefonom, vagy nagyon osszetorom, egy telefonkonyvbejegyzest sem tudok kiolvasni, es napokra tokon vagyok love.

Kulon szep a 2FA-s esetet IoT-os ajtozarral kombinalni.

Hajbazer peldaja jo volt, hogy kuldd el a szemelyid az indiai ugyfelszolgalatosnak.

"Neked semmi ilyesmire nincs szukseged"

En tudom, de multiék rameroltetik, es a szakma elitelne, ha ehhez a velemenyhez az arcomat adnam.

Ettol meg egy masik hozzaszolasban reszleteztem mirol van szo, es javasoltam egy megoldast. Talald meg, es abba koss bele. Szepen levezettem, hogy mirol mondanek le es mit kockaztatnek vele es mit kapnek cserebe.

Nézd, amíg hátsó kapun, pl. a bank telefonos ügyfélszolgáltán olyan dolgokkal hitelesítem be magam a céges számla ügyintézésekor, minthogy "A teljes nevét legyen szíves!", születési dátumom és/vagy anyám leánykori neve.... Vagy tetszőleges netszolgáltatót felhívva ügyfelünk netjének ügyében intézkedése céljából olyan adatokat kérnek, mint adószám meg cégjegyzékszám.... Addig mi a picsáról beszélünk? Ez nem röhej, hanem siralmas. Az a probléma, hogy általában teljesen imkompetens emberek vannak vezető pozícióba.

Réges régen nem a jelszavak a gyenge pontjai általában semmilyen rendszernek, hanem a programozási hibák és az ember.

"Sose a gép a hülye."

Ugyanakkor ha (pl. hasraütök példa, valszeg nem a legjobb) az ellopott bankkártyádat SOS le akarnád tiltani a telefonos üfsz-on, és ondó meg kloáka-mintát kérnének be tőled az ügyfélazonosításhoz, te lennél a legjobban felháborodva h. miért g&ciznek veled és miért nem tiltják már le azt a rohadt kártyát a picsába? Sajnos ez van, vagy az ügyintézés gyors és hatékony, vagy a szekuriti magas cserébe mindenki frusztrált lesz mert minden fiszem-faszom ügyintézéssel mehetsz a "hivatalba" mindenféle pecsétes papírt lobogtatni.

Szerintem lehetne találni/kitalálni más dolgot, amivel tényleg be tudnának azonosítani, és nem egy full publikus infó. Gondolok itt valami kérdésre, amit én mondok meg hogy mi legyen, nem a sablonos "Mi volt az első iskolád neve?" és hasonló baromságok, amit szintén kb. az összes ismerősöm, volt csoporttársam tud vagy megkeresi 10 perc alatt, hanem egy kérdés amit én mondok hogy mi legyen, meg persze a jó választ is.

Hozzáteszem, a banknál a telefonos ügyintézésnél azután kérik ezeket az adatokat, hogy ügyfélszámmal és telefonos pinkóddal beazonosítottam magam az automatánál. Namost ha ezt valaki megszerzi, akkor gondolják hogy már a teljes nevem vagy születési dátumom fog problémát okozni?

"Sose a gép a hülye."

Bank esetében nehéz ügy, mert ha olyan megoldást fejlesztenek ki, ami csak az ügyfelek kisebb részének áll rendelkezésre, akkor mi legyen azzal, akinek nincs hozá tudása/eszköze? Vagy valamiért épp használhatatlan. Pl. az OTP vagy a biometrikus hitelesítés jó dolog, de mi van akkor, ha valakit mondjuk külföldi úton kirabolnak, vagy betörnek a szobájába és elviszik mindenét? (kártya, iratok, telefon) Ilyen esetben is lehetőséget kell adni arra, hogy az ügyfél mondjuk le tudja tiltani a kártyáját, és az pont ilyenkor a legfontosabb.

Mindössze azt lehet csinálni (és ezt csinálják is), hogy függően az azonosítási szinttől kevesebb vagy több dolgot lehet csinálni. 

Nyilván, ezt egyáltalán nem vitatom.

Inkább valami olyasmit várnék el (nem csak banktól, hanem pl szolgáltatóktól - mobiltelefon, biztosító (ha van pokol, remélem nekik van külön "személyzet", válogatott kínokkal), stb...), hogy mikor felhívom őket telefonon (elindítok egy beszélgetést a robottal valami chat-en...), akkor (mellőzve a 3p-es marketing tájékoztatót) hadd válasszak egynél több módot, hogy kívánom magam (biztonságosan) azonosítani. :)

Nem leváltani akarom a meglevő módszereket (ezáltal kizárni a hozzá esetleg nem értőket, vagy akiknek nincs lehetőségük), hanem bővíteni a listát.

- vagy valami ami nála van: a telefonja

- vagy valami amit tud: Továbblépéshez tárcsázza a biztonsági azonosítójának a második a harmadik, majd az ötödik számjegyét!

- vagy valami belőle: Hangminta ellenőrzés, mondja hogy "libatöklopóharkály"!   - Ööö...   - Rendben, megfelelt.

- vagy egy jóbarát: Közeg rendőr vagyok, mint látja a rendőrségi vonalon hívom. Azonosítottam a parasztot, valóban ő az.

- vagy így járt, és izibe ki kell posztolni a nyomorát mindenhova, jól megszégyeníteni a közösségi médiában, hogy a rossz hír terjedési sebességét kihasznalva mindenki értesülhessen arról, hogy milyen potenciális hibalehetőség van az életben. Pl. aki a BKK / T systems cuccában hibát talál, az jobb ha eladja az albán maffiának két rekesz sörért, mint hogy bejelentse a hibát, elvégre az eddigi tapasztalat szerint a jószándékú, jogkövető jellegű magatartásból mindenképpen feljelentés meg bíroságra járkálás lesz, a két lada sörből meg egy jó kerti party, legrosszabb esetben egy fejfájós másnaposság. Mert ne felejtsük el, hogy biztonsági problémái nem csak a felhasználóknak, hanem a cégeknek is jócskán vannak. És csak addig nagy a pofájuk, hogy ők mennyire szekúrak, és odafigyelők, meg egyébként is hobby teréz anyák, ameddig ki nem derül, hogy lukas szoftvert üzemeltető alulképzett indiánok nem létező folyamatok mellett kezelik az adataidat, de nem baj, mert a megfelelő haverokkal rendelkező management akkor is kap bónuszt a jól végzett munkáér, ha éppen lángol a cég.

Nademost back to work, mert kell egy kávé, mert egy nyomorult syslog üzenet látszólag átmegy, de mégsem megy át, és emiatt a másik oldal erősen kétségbe esik. Aztán térdre. Ráadásul hajnalban. És tuti, hogy az én hibám, mert az én kódom. Bassza meg, vagy kijavítom, vagy valahogy ráfogom egy Windowsra. (Ami azért lenne bravúros, mert ez egy 100% linux környezet. De számomra nincs lehetetlen!)

( anr | 2020. 07. 16., cs – 10:47 )

a pletyka az, hogy a twitter alkamazottak által használt adminisztrációs panel hackelték meg

ha így volt, akkor akárki nevében tudtak tweetelni, de akár usereket is törölhettek volna

( Hiena v | 2020. 07. 16., cs – 17:10 )

Tanmese n+1, hogy miért nem hasznàlunk mainstream közösségi oldalakat. És ha kicsit is "fontos" emberek vagyunk akkor miért nem hasznàlunk egyàltalàn semmi ilyent. 

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

( MrPrise v | 2020. 07. 20., h – 12:02 )

Ezzel lehetett volna komolyabb problémát is okozni. Trump pl. előszeretettel "üzen" háborát twitteren keresztül. Erre a Spaceforce első részében is utaltak amikor összeülnek a fejesek és mondja megbeszélés vezetője, hogy "Üdvözlöm Önöket! Az elnöknek volt pár ötlete. 5 perc múlva kitweeteli őket"

( mjanee | 2020. 07. 24., p – 11:09 )

Amúgy az csak nekem ijesztő?

Híres emberek kiírták, hogy ha átutalnak nekik x BTC akkor ők visszautalnak mondjuk 2*x-et és ezt elég sokan bekajálták csak azért mert Y híres emberünk ezt írta?
Hol van a józan paraszti ész?

Természetesen a tranzakció TBC-ben van amit senki nem tud visszavonni. :)