- A pirataria no Twitter comprometeu a segurança de milhares de contas na rede social para promover um esquema de roubo de Bitcoin (BTC).
- Os hackers enviaram Bitcoins roubados para Coinbase e BitPay.
O Twitter experimentou provavelmente um dos piores hacks para uma rede social. Ontem, 15 de julho, as contas de milhares de personalidades do entretenimento, empresários, empresas e outros foram invadidas para promover um esquema de roubo de Bitcoin (BTC). Entre os afetados estão Tesla CEO Elon Musk, Bill Gates, o ex-presidente dos EUA Barack Obama, Kim e Kanye West, e muitos outros.
Algumas contas invadidas, tais como a troca de criptomoneda Gemini, tinham medidas de segurança secundárias. O co-fundador e CEO da Exchange, Tyler Winklevoss, disse que a conta Gemini tinha dois fatores de verificação (2FA) habilitados. Entretanto, isto não afetou a eficiência do ataque e levou à crença de que os hackers tinham acesso às ferramentas internas do Twitter. O co-fundador da Casa custodiante, James Loop, alegou que os atacantes tinham acesso de raiz à rede social.
Uma vez que as contas foram invadidas, os atacantes postaram uma mensagem de suposta solidariedade devido à pandemia do coronavírus (Covid-19). A mensagem oferecia uma promoção com Bitcoin para ajudar “a comunidade” dos usuários, como mostrado na imagem abaixo. A mensagem oferecia um endereço de carteira para o qual os usuários tinham que enviar o Bitcoin.
O Twitter dá algumas respostas
A empresa de análise de dados Whitestream investigou e detectou transações provenientes de endereços associados às trocas BitPay e Coinbase. Este endereço, dizem os pesquisadores, foi um dos primeiros utilizados pelos hackers para receber fundos roubados da BTC. A Whitestream declarou o seguinte, etiquetando Coinbase e BitPay:
Favor verificar o seguinte endereço Bitco_in que B_itcoin recebeu do endereço de anúncio do atacante do esquema: 1_Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuy_F
Embora os atacantes utilizassem endereços diferentes, o referido no tweet Whitestream recebeu a maior parte dos fundos. Os hackers usaram o endereço de formato antigo mencionado, “1_Ai52”. A partir disto, os pesquisadores puderam determinar que o endereço pertence a carteiras afiliadas às trocas BitPay e Coinbase. Os atacantes usaram um endereço diferente com o formato Bech32 para atacar outras contas do Twitter não relacionadas a moedas criptográficas. No momento da publicação, os hackers obtiveram cerca de $140.000 ou 15 BTCs. Além disso, os pesquisadores rastrearam 3 transações deste endereço, antes do ataque, para Coinbase e BitPay e também para a troca CoinPayments.
Os pesquisadores têm especulado sobre os endereços utilizados pelos hackers. Entretanto, eles não determinaram um motivo específico pelo qual os atacantes fizeram as transações para as trocas, nem o motivo por trás da escolha dos endereços Bitcoin com um formato antigo. Em geral, parece que os atacantes fizeram experiências com os endereços e transações antes de fazer o golpe. Esta última é inferida pela falta de ferramentas de anonimato utilizadas pelos atacantes e pelas opções mais eficientes levantadas por membros da comunidade criptográfica que teriam dado mais lucro aos atacantes.
O Twitter tem recebido inúmeros ataques nas últimas 24 horas. Especialmente, membros da comunidade criptográfica apontaram a futilidade de sistemas centralizados para fornecer segurança a seus usuários. A resposta do Twitter tem sido relativamente lenta, provavelmente por causa da massividade do ataque. O CEO do Twitter e o entusiasta do Bitcoin Jack Dorsey compartilharam os resultados da pesquisa inicial.
De acordo com o Twitter, o hack foi um “ataque coordenado de engenharia social”. Além disso, o Twitter revelou que seus funcionários foram primeiramente afetados pelos hackers e depois usados para obter acesso às contas. O Twitter continuará a investigar para determinar se os atacantes cometeram outros atos maliciosos. Entretanto, eles limitaram a funcionalidade de algumas contas para continuar a investigação. O Twitter prometeu mais atualizações em um futuro próximo.
Internally, we’ve taken significant steps to limit access to internal systems and tools while our investigation is ongoing. More updates to come as our investigation continues.
— Support (@Support) July 16, 2020