Twitterhack: ‘Er zullen altijd inbreuken zijn op belangrijke platforms’

De hoofdzetel van Twitter in de Amerikaanse stad San Francisco © Reuters
Eva Schram Correspondent voor Knack.be in Noord-Amerika.

Woensdag werden 130 Twitteraccounts van bekende Amerikanen en bedrijven gehackt. De aanvallers mikten op de zwakste schakel in elk veiligheidssysteem: de mens.

Daags na een van de grootste veiligheidsinbreuken op een sociaal medium is er nog weinig duidelijk over hoe zoiets kon gebeuren. Op woensdag werden accounts van miljardairs als Jeff Bezos en Elon Musk gehackt, net als die van belangrijke politici als Barack Obama en Joe Biden. Ook bedrijfsaccounts van bijvoorbeeld Apple en Uber werden slachtoffer van de hack. Via de gehackte accounts werd om Bitcoins gevraagd, waarvoor donateurs in ruil geld terug zouden krijgen. In totaal haalden de hacker(s) zo’n 120.000 dollar binnen. In totaal zijn 130 Twitter-accounts gehackt.

De FBI zei donderdag onderzoek te zullen doen naar de hack en de verwachting is dat ook toezichthouder Federal Trade Commission (FTC) een onderzoek zal starten. Twitter staat sinds 2011 onder extra controle van de FTC, omdat het sociale medium volgens de toezichthouder toen al niet genoeg zorg droeg voor de persoonlijke informatie die gebruikers aan Twitter toevertrouwen.

Social engineering

Donderdag werd er veel gespeculeerd over hoe de hack is kunnen gebeuren. Twitter liet woensdag weten dat er een ‘social engineering’-aanval had plaatsgevonden. Dat houdt in dat een hacker via de zwakste schakel in een beveiligingssysteem een ingang zoekt: via menselijk contact.

Phishing-emails zijn een bekend voorbeeld van social engineering, maar het komt ook voor dat hackers naar de klantenservice van bijvoorbeeld een telecombedrijf bellen om persoonlijke gegevens van mensen te achterhalen, om die vervolgens in te zetten voor toegang tot online accounts. Op die manier kregen hackers vorig jaar toegang tot het account van Twitter-CEO Jack Dorsey.

Deze keer zou het kunnen dat hackers medewerkers van Twitter erin geluisd hebben om toegang te krijgen tot een interne tool. Maar technologiewebsite Motherboard citeert een anonieme hacker die betrokken zou zijn geweest, die zegt dat een Twitter-medewerker tegen betaling toegang tot de interne tool verschafte. Twitter heeft dat bericht niet bevestigd.

Het is volkomen aannemelijk dat een Twitter-medewerker erin geluisd wordt op een link te klikken of een pdf-bestand te openen waarmee ze bijvoorbeeld een wachtwoord voor zo’n interne tool prijsgeven.

David Wagner, hoogleraar cybersecurity Universiteit van Californië in Berkeley

‘Ik zou voorzichtig zijn dat soort berichten voor waar aan te nemen’, zegt David Wagner, hoogleraar cybersecurity aan de universiteit van Californië in Berkeley. ‘Het zou waar kunnen zijn, of het kan een anonieme bron zijn die wil bijdragen aan de chaos.’

Groeiend probleem

Volgens Wagner is social engineering een groeiend probleem binnen en buiten de tech-industrie. ‘Het gebeurt zowel bij belangrijke aannemers van het ministerie van Defensie als bij Google. Het is volkomen aannemelijk dat een Twitter-medewerker erin geluisd wordt op een link te klikken of een pdf-bestand te openen waarmee ze bijvoorbeeld een wachtwoord voor zo’n interne tool prijsgeven. Social engineering is een effectieve manier voor kwaadwillenden om toegang te verkrijgen, en bovendien kost het hen niets. Ze kunnen alle medewerkers een voor een proberen erin te luizen, tot een iemand toehapt.’

Er zijn manieren waarop een bedrijf zich daartegen kan beschermen. Door ook voor interne tools bijvoorbeeld tweestapsverificatie in te stellen, zodat je na het invoeren van een wachtwoord nog een code moet invullen die naar een telefoon of e-mail gestuurd wordt. ‘Maar dat kan belastend zijn voor werknemers, die elke keer dat ze inloggen door dat proces moeten’, zegt Wagner.

Zelfs tegen het omkopen van medewerkers zijn stappen te nemen. ‘Als er gevoelige informatie bekeken of aangepast wordt, kun je bijvoorbeeld invoeren dat dat minstens door twee medewerkers moet worden goedgekeurd’, zegt Wagner.

E-mailadressen veranderd

Via een of meerdere Twitter-medewerkers kreeg de hacker of hackers dus toegang tot een interne tool. Wat er daarna is gebeurd, is nog niet helemaal duidelijk. Een speculatieve, maar aannemelijke, theorie is dat de hackers via de tool de e-mailadressen die aan de accounts gekoppeld waren hebben veranderd.

Internetgebruiker Lucky225 legde donderdag in een blogpost op sociaal platform Medium uit hoe dat gegaan zou kunnen zijn, omdat hij of zij een account (@6) beheert dat ook gehackt werd. Uren voordat de bekende namen en bedrijven slachtoffer werden, hadden hackers het al voorzien op enkele “OG”-accounts: dat zijn accounts met korte of begerenswaardige gebruikersnamen. Lucky225 schrijft dat hij of zij niet zeker weet of @6 door dezelfde mensen gehackt werd, maar wel dat het op dezelfde manier gebeurd moet zijn.

Met toegang tot de interne Twitter-tool zou het e-mailadres dat aan een account gekoppeld is veranderd kunnen worden, zonder dat de ware gebruiker daarvan op de hoogte wordt gesteld. Vervolgens kan via de tool de tweestapsverificatie uitgezet en het wachtwoord veranderd worden.

Twitter stuurt voor die twee veranderingen geautomatiseerde notificatie-emails, maar die zouden in dit geval naar het nieuwe e-mailadres gaan. De daadwerkelijke eigenaar van een account is daarmee dus niet op de hoogte van de gemaakte veranderingen. Lucky225 maakt deze werkwijze aannemelijk en cybersecurityspecialist Brian Krebson gaat er in een andere blogpost verder op in.

De werkwijze is echter niet bevestigd door Twitter, dat heeft beloofd zo openlijk mogelijk te communiceren over de hack. Als deze werkwijze van de hackers blijkt te kloppen, zouden volgens Krebson ook de zogenaamde DM’s, privé-berichten binnen het platform, van de gehackte accounts zichtbaar geweest zijn voor de hackers.

Niet de eerste keer

Nadat de hack ontdekt werd, reageerde Twitter door de meeste geverifieerde accounts (doorgaans van bekende personen, voorzien van een blauw vinkje) op slot te zetten, net als veel accounts waarvan de afgelopen maand het wachtwoord veranderd is.

Dat betekent niet dat al die accounts gehackt zijn, maar volgens Twitter was de stap noodzakelijk om risico’s te beperken. Inmiddels zijn de meeste van die accounts weer opengesteld, maar gecompromitteerde accounts zal Twitter alleen vrijgeven als het de ware eigenaar kan verifiëren.

Met deze grootschalige actie lijkt Twitter de ernst van de situatie te erkennen, al vragen critici zich af waarom de hackers urenlang konden tweeten vanuit populaire accounts. Los van de reactietijd kunnen er ernstige vraagtekens gezet worden bij de veiligheidscultuur binnen het bedrijf. Het is immers absoluut niet het eerste veiligheidslek waar het sociale medium mee te maken heeft gehad.

In 2011 werd het account van de Amerikaanse nieuwszender NBC News gehackt, waarna er een tweet verscheen dat Ground Zero in New York aangevallen werd. In 2013 werd persbureau Associated Press gehackt, waarna een bericht geplaatst werd dat er twee explosies in het Witte Huis hadden plaatsgevonden en dat toenmalig president Barack Obama gewond was. Dat valse bericht leidde ertoe dat de markten een snoekduik namen. Zes minuten later werd de tweet verwijderd en de markten herstelden zich, maar het illustreert hoe gevaarlijk het is als kwaadwillende actoren zich toegang verschaffen tot populaire Twitter-accounts.

Wat als de hackers woensdag niet om Bitcoins hadden gevraagd, maar om op een bepaalde politieke kandidaat te stemmen? En wat als die vraag op 3 november, de dag van de Amerikaanse presidentsverkiezingen, zou komen?

Toch maakt Wagner zich niet al te veel zorgen over de veiligheidscultuur bij Twitter. Hij benadrukt dat hij nooit voor het bedrijf gewerkt heeft, maar zich baseert op gesprekken die hij in het verleden met medewerkers gevoerd heeft. ‘Het zijn competente medewerkers die de veiligheid van het systeem serieus nemen en redelijke stappen nemen de veiligheid te waarborgen.’

Maar het belang van Twitter als platform in de wereld maakt dat ze altijd een doelwit van hackers zullen zijn. ‘En dat betekent dat er inbreuken zullen zijn.’

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content