Tudo começou com um tweet estranho. Então outro. Rapidamente, algumas das contas mais importantes do Twitter estavam enviando a mesma mensagem:

“Estou devolvendo à comunidade.

Todo o Bitcoin enviado para o endereço abaixo será devolvido em dobro! Se você enviar US$ 1.000, enviarei US$ 2.000. Apenas fazendo isso por 30 minutos”.

[- ENDEREÇO DA CARTEIRA DE BITCOIN -].

Estão a Apple, Elon Musk, Barack Obama, Uber, Joe Biden e vários outros participando de um esquema de bitcoin muito transparente?

Não, claro que não. A questão era se as contas individuais estavam comprometidas ou se algo mais profundo estava acontecendo.

Proteção de Conta de Usuário

Essas contas grandes são os principais alvos dos cibercriminosos. Eles têm um amplo alcance, e mesmo um breve comprometimento de uma dessas contas aumentaria significativamente a reputação de um criminoso cibernético no submundo.

É por isso que essas contas se aproveitam das proteções disponibilizadas pelo Twitter para manter suas contas seguras. Isso significa:

• Usar uma senha forte (a maior possível, de preferência usando um gerenciador de senhas)
• Ativar a proteção de redefinição de senha
• Ativar a autenticação de dois fatores (onde você precisará de seu nome de usuário, senha e token único temporário para efetuar login)
• Rever regularmente os aplicativos de terceiros que têm acesso a suas contas

Embora se acredite que uma ou duas dessas contas tenham deixado de tomar essas medidas, é altamente improvável que dezenas e dezenas delas tenham cometido o mesmo erro. Então o que aconteceu?

Redemoinho de rumores

Como em qualquer ataque público, o universo do Twitter (ironicamente) estava cheio de especulações. Essa especulação aumentou quando o Twitter deu o passo razoável de impedir que qualquer conta verificada tuitasse por cerca de três horas.

Essa etapa ajudou a impedir a publicação de outros tweets fraudulentos e elevou ainda mais o perfil desse ataque.

Embora seja sempre uma decisão complicada elevar o perfil de um ataque, essa foi uma compensação razoável para evitar mais danos às contas afetadas e para ajudar a impedir que o ataque ganhasse mais terreno.

Essa mudança também deu uma dica do que estava acontecendo. Se contas individuais estivessem sendo atacadas, é improvável que esse tipo de movimento tivesse impedido que o invasor obtivesse acesso. No entanto, se o invasor estivesse acessando um sistema de backend, essa mitigação seria eficaz.

O próprio Twitter foi hackeado?

Navalha de Occam

Ao imaginar cenários de ataque, uma violação direta do serviço principal é um cenário que é frequentemente examinado em profundidade, e é também por isso que é um dos cenários mais planejados.

O Twitter — como qualquer empresa — tem desafios com seus sistemas, mas eles se concentram principalmente na moderação de conteúdo… Sua segurança de backend é excelente.

Um exemplo disso foi um incidente em 2018. Os engenheiros do Twitter cometeram um erro que significava que a senha de qualquer pessoa poderia ter sido exposta em seus registros internos. Por precaução, o Twitter pediu a todos que redefinissem suas senhas.

Embora possível, é improvável que os sistemas de backend do Twitter tenham sido violados diretamente. Há uma explicação potencial muito mais simples: acesso interno.

Screenshot Interno

Logo após o ataque, alguns membros da comunidade de segurança notaram um screenshot de uma ferramenta de suporte interno do Twitter surgindo em fóruns de discussão clandestinos. Essa rara visão interna mostrou o que parecia ser o que um membro da equipe de suporte do Twitter veria.

Esse tipo de acesso é perigoso. Muito perigoso.

O artigo de Joseph Cox, detalhando o hack, tem uma citação principal,

“Usamos um representante que literalmente fez todo o trabalho para nós”.

Fonte Anônima

O que permanece incerto é se este é um caso de engenharia social (induzindo um informante privilegiado a agir) ou um informante malicioso (alguém internamente motivado para atacar o sistema).

A diferença é importante para outros defensores por aí.

A investigação está em andamento e o Twitter continua a fornecer atualizações via @TwitterSupport;

Most accounts should be able to Tweet again. As we continue working on a fix, this functionality may come and go. We’re working to get things back to normal as quickly as possible.

— Twitter Support (@TwitterSupport) July 16, 2020

Engenharia social

Donnie Sullivan, da CNN, tem uma entrevista fantástica com a lendária Rachel Tobac, mostrando como a engenharia social pode ser simples e o impacto perigoso que ela pode ter:

What is “social engineering,” you ask? @RachelTobac showed me. pic.twitter.com/TAw7FB1QPQ

— Donie O’Sullivan (@donie) July 16, 2020

Se esse ataque foi realizado por meio de engenharia social, a equipe de segurança do Twitter precisaria implementar processos e controles adicionais para garantir que isso não ocorra novamente.

Tal situação é o que sua equipe também precisa analisar. Embora as redefinições de senha, o fechamento de contas, as transferências de dados e outros processos críticos corram um risco particular de engenharia social, as transações financeiras estão no topo da lista de alvos dos cibercriminosos.

Os ataques de BEC — comprometimento de email corporativo — representaram perdas de US$ 1,7 bilhão apenas em 2019.

Acrescentar confirmações adicionais de canal lateral, etapas adicionais para verificações, aprovações firmes e claras e outras etapas do processo pode auxiliar as organizações a mitigar esses tipos de ataques de engenharia social.

Informante malicioso

Se o ataque for de um informante malicioso, os defensores precisam adotar uma abordagem diferente.

Insiders maliciosos são um problema tanto de segurança quanto de recursos humanos.

Da perspectiva da segurança, dois princípios fundamentais auxiliam a mitigar o potencial desses ataques:

• Princípio do menor privilégio
• Separação de deveres

Garantir que os indivíduos tenham apenas o acesso técnico necessário para concluir as tarefas atribuídas e somente este acesso, é essencial para limitar esse ataque em potencial. Combinado com a separação inteligente de tarefas (uma pessoa para solicitar uma alteração e outra para aprová-la), reduz significativamente a possibilidade desses ataques causarem danos.

O outro lado desses ataques, que nem sempre é mencionado, é a razão por trás da intenção maliciosa. Algumas pessoas são apenas maliciosas e, quando apresentadas a uma oportunidade, elas a aproveitam.

Outras vezes, é um funcionário que se sente negligenciado, preterido ou está descontente de alguma outra maneira. Uma comunidade interna forte, comunicação regular e um programa de RH forte podem ajudar a resolver esses problemas antes que eles aumentem a ponto em que ajudar um cibercriminoso se torne uma escolha atraente.

Riscos de Suporte

Por baixo de toda essa situação está uma questão mais desafiadora; o nível de acesso que a equipe de suporte tem a determinado sistema.

É fácil pensar em uma conta do Twitter como “sua”. Não é. Faz parte de um sistema gerenciado por uma empresa que precisa monitorar a saúde do sistema, responder a problemas de suporte e auxiliar a aplicação da lei quando legalmente exigido.

Todos esses requisitos exigem um nível de acesso que a maioria não imagina.

Com que frequência você compartilha informações confidenciais por mensagem direta? É provável que essas mensagens sejam acessíveis pelo suporte.

O que impede que eles acessem uma determinada conta ou mensagem a qualquer momento? Nós não sabemos.

Felizmente, o Twitter – e outros – têm regras de proteção claras (baseadas em políticas e técnicas) para impedir o abuso do acesso ao suporte, e elas as auditam regularmente.

É um equilíbrio difícil de encontrar. A confiança do usuário está em jogo, mas também a viabilidade de executar um serviço.

Políticas e controles claros e transparentes são a chave do sucesso aqui.

O abuso pode ser interno ou externo. As equipes de suporte normalmente têm acesso privilegiado, mas também recebem os salários mais baixos da organização. O suporte – fora da comunidade SRE – geralmente é visto como cargos iniciantes.

Essas equipes têm acesso altamente sensível e, quando as coisas “vão pro brejo”,  podem causar muitos danos. Novamente, os princípios de menor privilégio, separação de deveres e um conjunto forte de políticas podem ajudar.

O que vem em seguida?

Nos próximos dias, mais detalhes do ataque aparecerão. Enquanto isso, a comunidade ainda está lutando para conciliar o nível de acesso obtido e como foi usado.

Obter acesso a algumas das contas mais importantes do mundo e depois conduzir uma fraude de bitcoin? Com base nas transações de bitcoin, parece que os cibercriminosos conseguiram pouco mais de US$ 100.000. Não é insignificante, mas certamente havia outras oportunidades?

A navalha de Occam pode ajudar aqui novamente. Golpes de bitcoin e mineradores de moedas são o método que mais compensa para os cibercriminosos. Dada a natureza do ataque, o tempo antes da descoberta era uma certeza com a qual eles certamente contavam. Essa pode ter sido a aposta “mais segura” para o(s) criminoso(s) lucrar(em) com esse hack.

No final, é uma lição para usuários de redes sociais e outros serviços; mesmo se você tomar todas as precauções razoáveis de segurança, estará dependendo do próprio serviço para ajudar a protegê-lo. 

É um lembrete duro de que as ferramentas que você implementou para executar seu serviço podem ser o maior risco para prestadores de serviços e defensores… Um risco que geralmente é esquecido e subestimado.

Ao final, Marques Brownlee resume sucintamente:

Don’t send Bitcoin to strangers.

— Marques Brownlee (@MKBHD) July 15, 2020

O que você acha desse episódio inteiro? Vamos falar sobre isso – ironicamente — no Twitter, onde estou como @marknca.