Trvalo to sice jen čtvrt hodiny, ale i tak si hackerská skupina Chuckle Squad užila pocitu z odlovu velké kořisti – dostali se k twitterovému účtu šéfa Twitteru Jacka Dorseyho a publikovali na něm řadu provokativních twítů. Pro ostatní je to varování, že i zdánlivě nejzabezpečenější účet se dá hacknout.
Jack Dorsey není hloupý a svůj účet má řádně zajištěný silným heslem, přičemž má zároveň účet svázaný s telefonním číslem. To je další prvek bezpečnosti, který slouží k ověřování. Jenže právě to byla také skulina, kterou se hackeři vydali.
Cesta přes SMS
Jak objasňuje The Verge, útočníci šli na věc skrze mobilní operátora. Znali telefonní číslo Jacka Dorseyho a de facto se jim podařilo získat kopii jeho SIM karty. Vina tedy padá především na amerického operátora AT&T, který se k případu zatím nevyjádřil. Ale dá se očekávat, že zde půjde spíše o tzv. sociální hacking než o nějaké technické proboření.
Samotné telefonní číslo nestačilo k plnému ovládnutí účtu, jenže díky provázání bylo možné využít ovládání účtu skrze SMS zprávy. To Twitter umožňuje v USA a v několika dalších, především rozvojových zemích. Takto se dá totiž Twitter ovládat i na telefonu s tlačítky a bez internetu. Výpisy z Twitteru nebo i publikace nových příspěvků se provádí skrze SMS zprávy s kódy, které se posílají na speciální číslo.
A protože měl Jack Dorsey svůj účet spojený s telefonním číslem, nebylo nutné ovládání skrze SMS nijak zvlášť aktivovat. Stačilo prostě začít publikovat. A tak se na svět dostalo několik vulgárních twítů, kterými se skupina Chuckle Squad snažila ohromit přes čtyři miliony followerů Dorseyho. Zásah přišel po čtvrt hodině, kdy twíty zmizely a šéf Twitteru si už pochopitelně ohlídal, aby ke zneužití nemohlo dále docházet.
Silné heslo nestačí
Pro ostatní je to ale poučná ukázka toho, že zabezpečení je provázáno s dalšími službami a všude je nutné hlídat možnost zneužití. Máte účet vázaný na telefonní číslo? Jak snadné je získat přístup k němu? Nebo máte účet vázaný na e-mail na vlastní doméně? Jak dobře je zajištěn poskytovatel vaší domény? A tak podobně. Cílené útoky na konkrétní osoby totiž mohou být celkem sofistikované a využívat nejslabších míst nejen z hlediska technického, ale i lidského.
