Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties

Het is hackers gelukt om in te breken op het Twitter-account van ceo Jack Dorsey. De hack werd uitgevoerd door een groep die zichzelf OurMine noemt, en ook al verantwoordelijk was voor het inbreken op accounts van Mark Zuckerberg en Sundar Pichai.

Op het Twitter-account van Dorsey werden enkele tweets geplaatst door de hackers, die daarbij verwezen naar de website ourmine.org. De hackers stelden 'de accountbeveiliging te testen'. Inmiddels zijn de door de inbrekers geplaatste tweets verwijderd, maar heeft Engadget een screenshot genomen van een van de berichten.

Het is niet de eerste keer dat OurMine, een groep die stelt 'beveilingsdiensten' voor websites en sociale media aan te bieden, inbreekt op Twitter-accounts van prominenten. Zo werd Facebook-ceo Mark Zuckerberg eerder al slachtoffer van de hackersgroep. Ook Google-ceo Sundar Pichai was korte tijd het eigendom over zijn Twitter-account kwijt. Met de inbraken lijkt OurMine reclame te willen maken voor zijn hackdiensten.

Twitter-account Dorsey

Moderatie-faq Wijzig weergave

Reacties (41)

Ik weet niet in hoeverre dit als een hack opgevat moet worden. In dit filmpje op YouTube wordt uitgelegd hoe sommige van deze "hackers" te werk gaan nadat er de laatste tijd bij veel grote YouTube kanalen, Twitter accounts en instagram profielen is ingebroken.

https://youtube.com/watch?v=caVEiitI2vg

Bij veel websites kan je tegenwoordig je account herstellen met je mobiele telefoon, wanneer je het nummer van een persoon hebt kan je blijkbaar bijvoorbeeld bij t-mobile een nieuwe simkaart aanvragen wanneer je je voordoet als medewerker van het bedrijf. En op deze manier is er dus toegang te verkrijgen tot het account. In het eerder gelinkte filmpje wordt het allemaal wat dieper toegelicht hoe simpel het tegenwoordig ook is om achter persoonsgegevens te komen doordat veel bedrijven dit lekken.

[Reactie gewijzigd door Marcjeno1 op 9 juli 2016 11:53]

Sociale Hacking / Engineering is zeker wel hacken. Er is een lek, en hij wordt benut.
Bij social engineering is er geen sprake van een technologisch lek, dus ik zou het niet over een lek hebben. Overigens lijkt het er eerder op dat deze accountovernames via third party apps hebben plaatsgevonden, Twitter's authenticatie schijnt daar zwakheden te hebben. Althans, die uitleg rouleerde nadat ook Zuckerberg's account was gehackt (ondanks het makkelijke wachtwoord).
Heb ik "technologisch lek" gezegd? Een lek hoeft niet uit bitjes en bytjes te bestaan
Ik heb door dat je op die manier wilt zeggen dat er een lek is, daarom ga ik er ook niet op in. In deze context is het eenvoudig om de definitie van elk woord te verbreden tot op een gegeven moment niemand meer snapt waar het over gaat, maar dat het kan betekent niet dat we dat ook moeten doen. Dan krijg je eenzelfde situatie als dat nu bijna de hele wereld denkt dat virus gelijk staat aan het woord malware. Dat is niet zo.

Edit: zin anders geformuleerd.

[Reactie gewijzigd door Blizz op 9 juli 2016 21:18]

Inerdaad, social engineering is meer een techniek zoals waarzeggers en goochelaars gebruiken .
Door mensen af te leiden (met een goed verhaal) de mensen dingen te laten zeggen of doen die ze niet door hebben of normaliter niet zouden doen.
De meeste lekken zjn toch echt door Mensen hoor.

Vooral als je doorlekt :+
Dat snap ik niet. Je vraagt een simkaart aan, maar die gaat uiteindelijk dus naar een heel ander adres dan die bij de originele simkaart hoort ?
Logisch toch? Je doet je voor als Jack Dorsey of Mark Zuckerberg, achterhaalt van te voren de essentiŽle klantgegevens die nodig zijn om jezelf bij de dienst te verifiŽren, belt de klantenservice op en stelt dat je een nieuwe simkaart wil aanvragen.

Daarnaast geef je aan dat je contactgegevens gewijzigd zijn en de simkaart naar een nieuw adres wil sturen. Hetzelfde geldt voor je e-mailadres en overige gegevens. De goedgelovige medewerker neemt dit voor waarheid aan en vervolgens wordt het product opgestuurd. Op het moment dat de simkaart geactiveerd wordt is het snel handelen.

Basis social engineering. In de praktijk moet je natuurlijk van goede huize komen wil je in staat zijn om mensen te manipuleren, maar deze manier van gegevens ontfutselen gebeurde vroeger ook al zoveel in bijv. Habbo Hotel of RuneScape. Goede oude tijd.
Inderdaad zoals DeEchteKwartel al aangeeft, is de definitie van hacken al lang niet meer in een donker keldertje urenlang code door zitten spitten of achterdeurtjes uitproberen.

Social engineering is tegenwoordig voor een groot deel verantwoordelijk voor digitale inbraken, zeker omdat firewalls, intrusion algoritmes en virtuele omgevingen het moeilijker hebben gemaakt domweg digitale sloten te kraken. Dan maar richten op de zwakste schakel; de mens.
Bij hacken is het achterhalen van wachtwoorden altijd al een deel geweest. Dit kun je natuurlijk ook onder social engineering gooien. Van welke band houd de systeembeheerder? Laten we dat eens proberen. Zo ging dat al ver voordat het www bestond.
Dit is ook een mooie https://www.youtube.com/watch?v=lc7scxvKQOo
Ik weet niet hoe het in Nederland geregeld bij telecom bedrijven maar ik mag hopen dat ze allemaal training krijgen om zulke praktijken te herkennen.
Zijn ze achteraf ook open in hun methoden?
"Met de inbraken lijkt OurMine reclame te willen maken voor zijn hackdiensten."

Waarom zouden ze zichzelf in hun voeten schieten?

[Reactie gewijzigd door J0rt op 9 juli 2016 11:44]

Sorry hoor maar die methoden zijn dergelijke gevallen bijzonder amateuristisch en eerder goed gevonden dan ook daadwerkelijk hacks. Mark zuckerburg had wel echt het meest belabberde wachtwoord van de afgelopen eeuw.
voor de geÔnteresseerden: Mark Zuckerberg's Twitter and Pinterest password was 'dadada' :D
En hoeveel mensen vertrouwen hun gegevens aan het bedrijf van zo iemand toe? Miljoenen, misschien wel miljarde? Toch wel schamend he haahababa
Ze krijgen naamsbekendheid en dus zijn instanties of bedrijven eerder geneigd om aan ze te denken wanneer ze iemand voor een opdrachtzoeken.
Maar heb je daar voorbeelden van?
Ik heb jaren geleden ooit het verhaal mee gekregen over 1 of andere grote hacker. Jaren celstraf en toen die vrij werd gelaten stond er "direct" iemand van MS te wachten om hem in dienst te nemen.
Op internet kan ik er 0,0 over terugvinden en daarna ook nooit meer iets gehoord over soortgelijke situaties.
ze hebben gwn een leakedsource.com account en denken daarmee dat ze stoer zijn en hackers zijn maar het enige wat ze doen is een paar results uit een database halen en die vervolgens proberen op het account
Alsof een ceo geen 2-factor aan heeft staan...
Nee deze hack is hoogst waarschijnlijk wel wat ingewikkelder. Laat staan dat dergelijke accounts ook niet zo snel op dergelijke sites belanden..

En leakedsource is een verzameling van accounts die zijn gehacked by grote hacks en al lang zijn reset door de desbetreffende sites :+ oftewel leakedsource is voor veel account onbruikbaar. Tis alleen handig als iemand een wachtwoord meerdere malen gebruikt maar dat betwijfel ik bij ceo's.

[Reactie gewijzigd door seapip op 9 juli 2016 12:08]

Two-factor en wachtwoordmanagers voor verschillende wachtwoorden kost te veel tijd, net als voor veel niet-ceo's. Ik betwijfel daarom of ceo's zoveel anders zijn dan Zuckerberg met zijn 'dadada'.
En jollewieringa heeft ook een goed punt.

[Reactie gewijzigd door Klik_Hier op 9 juli 2016 12:34]

Toevallig gister een interessante video hierover gekeken van h3h3. Blijkbaar is het via de telefoonmaatschappijen in de US bijzonder gemakkelijk om een kloon van iemands sim-kaart te bemachtigen. Hiermee wordt het vervolgens vrij eenvoudig om in te breken op youtube kanalen, facebook / twitter accounts, etc.

https://www.youtube.com/watch?v=caVEiitI2vg
Alsof een ceo geen 2-factor aan heeft staan...
Nee deze hack is hoogst waarschijnlijk wel wat ingewikkelder. Laat staan dat dergelijke accounts ook niet zo snel op dergelijke sites belanden..

En leakedsource is een verzameling van accounts die zijn gehacked by grote hacks en al lang zijn reset door de desbetreffende sites :+ oftewel leakedsource is voor veel account onbruikbaar. Tis alleen handig als iemand een wachtwoord meerdere malen gebruikt maar dat betwijfel ik bij ceo's.
Een rondje bij de CEO's en CFO's die ik regelmatig spreek, bleek toch wel dat meerdere van hen hun prive en bedrijfsemail op Linkedin gebruiken EN datzelfde password al jaren dubbel inzetten.
Een verkorte versie laten zien van de gevolgen, en wat gedupeerden, bleek dat het meerendeel ineens best haast kreeg om hun accounts opnieuw te bekijken.

Een CEO of welke 'manager' dan ook is niet "heilig" vaak zit hun kwaliteit op een andere plek dan security.
In veel gevallen word een account beheerd door een andere afdeling/persoon ( secretaresse, ict'er ) en zijn ze relatief veilig, maar ook een directeur is maar een mens, met huisdieren en kinderen die hij gebruikt om wachtwoorden te creŽren

Daags na dit gesprekje kwam 'spontaan' het gebruik van een passwordmanager in de directiemail, en dat iedereen zich bewuster moest worden van de gevaren :|

Oh well, toch een WIN voor mij ...
( altijd leuk om een screenshot naar de directie te sturen van https://haveibeenpwned.com/ )
"Oh no — pwned! " Dat doet het altijd goed op de borrels ....
jij praat wel veel zeg om niks te weten
het is niet omdat iemand CEO is van een bedrijf dat hij daarom slim is qua security en dus ook overal een ander pw gaat gebruiken, niet iedereen is even slim op dat vlak.
Lijkt me dat de CEO van twitter wel two factor aan heeft staan.
Vraag me af of het een brute force/dictonary attack was of echt een hack via een kwetsbaarheid.

[Reactie gewijzigd door MrRobot op 9 juli 2016 11:52]

De CEO van FB had amper authenticatie op z'n twitter account dus dat zegt helemaal niets.
Two factor kan ook een zwakte zijn als je bijvoorbeeld iemand zijn simkaart kan laten opsturen kan je zo via sms een account herstellen. Dus als je two factor met sms verificatie hebt ben je afhankelijk van je provider.
Ik denk dat dit toch wel laat zien dat elk account kwetsbaar is. Misschien wordt er wel vaker ingebroken en niks getweet, wie weet...
Zelf heb ik geen account, maar is het niet zo dat je persoonlijke informatie sowieso al werd verzameld en mogelijk verhandeld? In hoeverre kan een club hackers het nog erger maken? Ze onderstrepen eigenlijk alleen maar de feiten.
Grappig hoe iedereen reageert hoe simpel het zou moeten zijn om iemand te hacken, alhoewel de methode soms ook simpel kan zijn, komt er heel wat meer kijken dan wat je op de youtube filmpje te zien is.
Grote kans dat de tech CEO's niet zelf hun accounts beheren maar een team van markering (stagiaires). Gezien de menselijke factor nog steeds de zwakste schakel is, hoe meer mensen zich er mee bezig houden... maakt deze accounts het juist eenvoudiger om te hacken :P
Als je aannames kloppen.
[half-offtopic]
Mr.Robot een T.V serie komt heel dichtbij her social engineering/hacken principe. Niet helemaal realiteit natuurlijk, maar wel interessante T.V show om eens een kijkje te nemen in de hackwereld.

De T.V show gebruikt zover ik weet ook veel content van Anonymous, en je ziet veel vergelijkbare stijlen voorbij komen.

[Ontopic]

Wat is er zo moeilijk aan 2FA en een wachtwoord manager? De setup duurt misschien 5-10 minuten maar daarna staat het.
2fa is prima maar password managers mag je nooit vertrouwen
Dit is geen hack maar een exploit in hun API waarmee je gewoon op iemand anders zijn account can twitteren.
Blijkbaar weet iedereen hier al exact hoe ze te werk gegaan zijn, en dat het niks voorsteld... :| het maakt niet uit of het zo makkelijk is, punt is dat ze het hebben kunnen doen ze hebben een probleem aan de kaak gesteld, en dat moet opgelost worden..
Even uit interesse, iemand naar die pagina van hun gegaan om dat eens te bekijken?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True