NYT: Twitter-hack werd uitgevoerd door groep jonge mensen

Volgens bronnen is de Twitter-hack waarbij verscheidene beroemde accounts werden gestolen, uitgevoerd door een groep jonge mensen. Dat stelt The New York Times, die met vier van de betrokkenen heeft gesproken.

De Amerikaanse krant wist in contact te komen met de sleutelfiguren omtrent de hack, die in staat waren om bewijs te leveren van hun betrokkenheid bij de diefstal van Twitter-accounts. Volgens The New York Times speelde iemand met het pseudoniem Kirk een centrale rol; hij was degene met toegang tot de systemen van Twitter, en communiceerde met twee andere hackers, onder het pseudoniem "Lol" en "Ever so anxious". Lol zou een twintiger zijn die aan de Amerikaanse westkust woont, terwijl Ever so anxious een 19-jarige Brit is die nog bij zijn moeder woont.

Die twee traden op als tussenpersonen voor de verkoop van Twitter-accounts die Kirk had overgenomen. Zo werd als een van de eerste accounts @y verkocht, voor ongeveer 1500 dollar. Het geld werd via bitcoin weggesluisd naar Kirk. De accounts @dark, @w, @l, @50 en @vague werden ook voor bitcoin verkocht.

NYT - Twitter-hack

The New York Times sprak ook met een van de klanten van de hackers, met de naam Joseph O’Connor. O'Connor, die het niet erg vond om met zijn echte naam bekend te worden, stelt dat hij het account @6 had gekocht, en dat hij van Kirk te horen kreeg dat hij inloggegevens op de Twitter-systemen had verkregen via een intern Slack-kanaal waar hij op wist in te loggen. Of dit verhaal van Kirk klopt is niet duidelijk; critici stellen dat het niet aannemelijk dat Twitter admin-logins deelt via een Slack-kanaal.

Na het verkopen van een aantal accounts, waarbij de prijzen uiteindelijk opliepen tot tienduizenden dollars besloot Kirk een ander verdienmodel te kiezen. Hij liet accounts waar hij toegang tot had links naar bitcoinscams delen. Daarvoor werden ook accounts van beroemde mensen gebruikt. Volgens The New York Times zou Kirk met de acties in totaal ongeveer 180.000 dollar hebben verdiend.

Woensdag bleek al dat de Twitter-accounts van bekende personen, waaronder Elon Musk, Bill Gates, Joe Biden, Warren Buffet, Kanye West en Uber overgenomen waren. Die accounts verstuurden berichten met de oproep bitcoin te doneren. De belofte bij de fraude was dat de dubbele hoeveelheid bitcoin teruggestuurd zou worden. Opvallend was dat tegelijkertijd het account van Geert Wilders overgenomen was, zonder dat deze bitcoinscamberichten verstuurde.

Twitter zegt onderzoek te doen naar de hack, in samenwerking met de Amerikaanse autoriteiten. Er zouden berichten verstuurd zijn vanaf 45 accounts, van de in totaal 130 accounts die zijn gestolen. Bij vier tot acht accounts is ook alle data van het account gedownload, waardoor ook verwijderde DM's inzichtelijk zijn. Daarbij ging het overigens niet om geverifieerde accounts. Daarnaast denkt de sociale-mediasite dat de aanvallers zijn binnengekomen door de inloggegevens van Twitter-medewerkers via social engineering te achterhalen.

Het bedrijf zegt trainingen te zullen bieden aan werknemers om social engineering te voorkomen, en daarnaast gaat het nadenken over toekomstige beveiligingsmaatregelen om dergelijke hacks te voorkomen.

Reacties (66)

Ynst2003 18 juli 2020 09:59

De analyse van Bryan Krebs (security-onderzoeker) geeft ook wel een interessant inkijkje in de keuken.
https://krebsonsecurity.c...esdays-epic-twitter-hack/

en security-onderzoeker Lucky225:
https://medium.com/@lucky...ctly-happened-d8740d33c1c

Kortgezegd;
- een user op OGUsers zegt voor $250 dollar het gelinkte e-mailaccount van elk Twitter-account te kunnen wijzigen (waarschijnlijk vanuit Twitter's admin tools)
- hierdoor krijgt de gebruiker geen notificatie als er iets veranderd wordt
- Hierna kunnen ze de 2FA uitschakelen.

Maar wat ik niet snap is dat alles zo openbaar gebeurt.. Dit is toch een kwestie van een paar dagen dat deze gasten van hun bed worden gelicht en jaren de gevangenis in gaan?

In het verhaal van Bryan Krebs zijn de accounts gekocht op OGUsers.
Je kunt daar gewoon meelezen (zonder account), wat daar gaande is en het is geen TOR-achtige site.
Naiviteit, of denken ze echt dat ze niet gepakt zullen worden?

[Reactie gewijzigd door Ynst2003 op 25 juli 2024 02:10]

Maurits van Baerle

Twitter

@Ynst2003 • 18 juli 2020 11:24

Als je de risk/reward verhouding bekijkt dat is het allemaal erg slecht doordacht gegaan. Nog geen twee ton in bitcoin ophalen waar je waarschijnlijk nog weken aan kunstgrepen op moet loslaten voordat je het kunt witwassen.

Tegelijkertijd heb je wel de Twitter account van een voormalige Amerikaanse president, een Amerikaanse presidentskandidaat, de Israëlische minister president en een aantal mensen die aan het hoofd staan van beursgenoteerde ondernemingen gebruikt om valse informatie naar buiten te brengen. Een garantie om een hele reeks veiligheidsdiensten en toezichthouders aan je broek te krijgen. Niet de moeite waard.

mkools24 @Maurits van Baerle • 18 juli 2020 11:39

Het gaat ook om de spanning en de publiciteit denk ik, niet enkel om het geld. Een hacker en ook een ddosser bijv wil altijd graag erkenning, dat zie je wel vaker.

Maurits van Baerle

Twitter

@mkools24 • 18 juli 2020 11:56

Oh vast, maar dat maakt het natuurlijk nog veel dommer natuurlijk. Als jij en ik iets kunnen zien, of vinden in een achterkamertje van het web, dan kunnen rechercheurs dat natuurlijk zeker. Je moet er altijd van uit gaan mensen die opgeleid zijn in het opsporen van internetcriminaliteit, er voor betaald worden om er voltijds mee bezig zijn én kennis en informatie uitwisselen met andere rechercheurs meer weten dan vrijwel iedere internetcrimineel. Als jij en ik een of twee fora weten waar dubieuze informatie wordt uitgewisseld dan kun je er donder op zeggen dat rechercheurs er nog veel meer kennen, en er zelf ook binnen zijn gekomen.

Een "twintiger die aan de Amerikaanse westkust woont" en "een 19-jarige Brit is die nog bij zijn moeder woont" plus een reeks pseudoniemen (die ze vast al jaren en op meerdere plekken gebruiken, zo is Ross Ulbricht ook gepakt) zijn natuurlijk al geweldige aanknopingspunten. Als ze dan ook nog eens gaan opscheppen dan is het snel afgelopen. Ik verwacht dat de eerste mensen hier achter volgend weekend al opgepakt zijn.

[Reactie gewijzigd door Maurits van Baerle op 25 juli 2024 02:10]

kftnl @mkools24 • 18 juli 2020 12:27

Ongetwijfeld, maar dan hadden ze beter het Bitcoin deel achterwege kunnen laten. Mochten ze gepakt worden dan gaat het stukje waarin ze het voor eigen gewin doen nog een flinke extra straf opleveren.

Verwijderd @Maurits van Baerle • 18 juli 2020 20:46

Tegelijkertijd heb je wel de Twitter account van een voormalige Amerikaanse president, een Amerikaanse presidentskandidaat, de Israëlische minister president en een aantal mensen die aan het hoofd staan van beursgenoteerde ondernemingen gebruikt om valse informatie naar buiten te brengen. Een garantie om een hele reeks veiligheidsdiensten en toezichthouders aan je broek te krijgen. Niet de moeite waard.

Die doen zelf ook allemaal dingen die niet mogen dus het kan ook een motivatie voor een hacker zijn om die mensen te stangen en te laten weten dat ook zij niet veilig zijn.

_Pussycat_ @Verwijderd • 19 juli 2020 14:26

Nou ja, Musk zit nogal veilig en gaat hiervoor niet het gevang in. Die andere lui eventueel wel.

vw23a @Maurits van Baerle • 20 juli 2020 18:39

Die voormalige Amerikaanse president, die Amerikaanse presidentskandidaat, die Israëlische minister president en een aantal mensen die aan het hoofd staan van beursgenoteerde ondernemingen zijn dus eigenlijk gek dat ze Twitter gebruiken. Of e-mail, of Facebook. Dat je gehackt wordt met zo'n "hoog" profiel is immers onvermijdelijk. Het wachten is op hun blootfoto's.

Cergorach

Websites en community's
Beveiliging en antivirus

@Ynst2003 • 18 juli 2020 10:09

Maar wat ik niet snap is dat alles zo openbaar gebeurt.. Dit is toch een kwestie van een paar dagen dat deze gasten van hun bed worden gelicht en jaren de gevangenis in gaan?

De woorden van @Verwijderd van twee dagen geleden:

Vandaar dat bij vrijwel alle afpersing op dit moment coins als betaling dienen? Wat zijn boeven toch dom he?

Mijn reactie daarop:

En boeven mensen zijn over het algemeen niet de slimste, daarom worden er relatief veel gepakt

Laten we eerlijk zijn voor velen is dat risico inschatten op 19 jarige leeftijd nog niet altijd even goed, zelfde geld voor begin 20. Veel van ons hebben rond die leeftijd dingen gedaan (met computers) die we nu als niet zo heel snugger zouden bestempelen.

jimzz @Cergorach • 18 juli 2020 11:47

Ja je hebt ergens gelijk, wij deden zulke dingen met computers, maar dat was ook een ander tijdperk. Computers waren in opkomst, het internet was maar voor een deel vd bevolking weggelegd en de leraren zelf wisten ook niet wat ze ermee aan moesten.

Die tijden zijn toch wel degelijk veranderd, kinderen groeien voortaan op met internet en snelle computers en ook de leerkrachten hebben iets meer kaas gegeten van de technologie. Ze zijn zich dus wel degelijk bewust van wat ze gedaan hebben. Daarnaast mag een 19 en 21 jarige ook autorijden dus inschattingsvermogen zullen ze echt wel hebben. Ok admitted het zal nog niet zover ontwikkeld zijn als ik t hier schets, maar als ik op mijn 16e iets deed waarvan ik wist wat de gevolgen waren, dan deed ik t uiteindelijk toch bewust?

Een jongen van 15 die een krantenwijk heeft en al zijn kranten in de sloot dumpt weet toch ook dondersgoed dat ie fout zit? Laat staan een 19 of zelfs 21 jarige.

Overigens werden zulke grootschalige acties vroeger ook niet goedgekeurd. Zo ooit na schooltijd een opstartdiskette meegenomen en alle pc's in de mediatheek geformatteerd. Ja toen was dat grappig, maar kwam daar ook niet zomaar mee weg. Tegenwoordig is dat allemaal een stuk beter beveiligd en dergelijke acties vereisen dan ook enige kennis. Het leek hier niet om iets simpels te gaan als een email wachtwoordje raden of een pctje formatteren. Dit was impersonating en naar mijn weten is dat naast de computervredebreuk die deze jongens gepleegd hebben ook strafbaar (je mag je niet voordoen als iemand anders, en laat die wet nou zowel in de VS, t VK en zelfs Nederland gelden?).

Deze jongens wisten precies wat ze deden en dat ze er schat hemeltje rijk van konden worden (let wel, wat zij doen is diefstal van account maar ook diefstal/oplichting van geld). Wat mij betreft mag hier een passende straf bij komen, bijvoorbeeld 2 jaar geen internet, wordt je toch betrapt? Dan 5 jaar. Weer betrapt? Dan een algeheel internet verbod.

Opsluiten is geen straf, die jongens komen de bak uit en kunnen dan lekker rentenieren van hun buitgemaakte bitcoins. Internet ontnemen (of elke vorm van digitale communicatie apparaten) lijkt mij dan ook een vele passendere straf. En de VS en t VK kan makkelijk nog zonder internet. Hell in de VS gebruiken ze nog cheques. Dat argument kan dus ook al de prullenbak in (mocht men die aanhalen)

FragFrog @jimzz • 18 juli 2020 12:19

Erm, op dat argument: een 21-jarige mag nog niet op zware motoren rijden. Bijna geen enkele 21-jarige heeft genoeg geld om een snelle sportauto te kopen (en verzekeren), maar een zware motor kost niet zoveel. Daarom dat iemand zonder ervaring pas vanaf zijn 24e op zware motoren mag rijden.

En aangaande autorijden: veel autoverhuurbedrijven verhuren ook niet aan jongeren onder de 23, of vragen er extra geld voor.

Juist in het verkeer wordt er vanuit gegaan dat iemand onder de ~ 25 niet goed is in risico's inschatten.

Daarom ook dat het leger zo graag 18-jarigen recruteert

mjansen2016 @Cergorach • 18 juli 2020 10:49

Of geen precedent hadden en dus niet als strafbaar werden beschouwd. Het was ook een wat andere tijd, maar zoals wel vaker geroepen werd "Tegenwoordig mag je helemaal niks meer". Zelfs "fotofuck Vrijdag" van ruim tien jaar geleden zou nu als strafbaar feit gelden.

Ynst2003 @mjansen2016 • 18 juli 2020 12:43

Zelfs "fotofuck Vrijdag" van ruim tien jaar geleden zou nu als strafbaar feit gelden.

uh.. nee?

mjansen2016 @Ynst2003 • 18 juli 2020 13:03

Zeker wel, portretrecht, privacywet, mensen die zich om wat voor reden ook gediscrimineerd of aangevallen voelen, aka cyber-bullying..

Ynst2003 @mjansen2016 • 18 juli 2020 13:07

al die wetten had je 20 jaar geleden ook al. Bij de originele fotofuckvrijdag van Retecool waren er zeker plaatjes die je als racistisch / discriminerend kon rekenen. Maar dat was toen ook al verboden. Dat er niet tegen opgetreden wordt (en nu nog steeds niet), is iets anders..

Verder is er veel mogelijk onder de auteurswet; zoals
karikatuur, parodie, sarcasme etc. etc.

[Reactie gewijzigd door Ynst2003 op 25 juli 2024 02:10]

Verwijderd @Ynst2003 • 18 juli 2020 20:48

En je kunt altijd zeggen dat je playbackte bij het racistische spreekkoor

RoestVrijStaal @Ynst2003 • 18 juli 2020 19:06

Ergens mogen we blij zijn dat het een handjevol tieners waren die ondoordacht met de overgenomen accounts gingen klooien. In plaats van dat een hackercel van een vreemde mogendheid om een oorlog uit te lokken.

Dit is een mooie eyeopener voor sociale media bedrijven om hun beveiligingsbeleid tegen het licht te houden en te verbeteren.

Èn voor alle niveaus van overheden om na te denken in hoe om te gaan met de berichtgeving via sociale media; Staat een tweet gelijk aan een telefoontje via de diplomatieke hotline, of is moet het beschouwd worden als een propaganda-pamflet?

Q @RoestVrijStaal • 19 juli 2020 01:45

Ik zie weinig reden tot blijheid.

Als een handjevol tieners dit kunnen, dan zou je bijna met zekerheid kunnen verwachten dat China, Rusland of andere staatshackers inmiddels ook zijn binnengedrongen.

Maar die houden zich natuurlijk gedeisd.

Kees BOFH @Ynst2003 • 18 juli 2020 10:12

Vooral naief, en denken dat ze niets heel erg verkeerd doen, want inactieve accounts verkopen is niet erg en mensen die zomaar geld naar jou overmaken zijn zo dom die verdienen dat geld niet.

En ja, dat zijn vrijwel altijd jongere mensen die dat denken, je ziet het ook met ddos-aanvallen en ander klier gedrag.

exorbitex @Ynst2003 • 20 juli 2020 12:44

Naiviteit, of denken ze echt dat ze niet gepakt zullen worden?

Geef de hersenen de schuld! Jongvolwassenen hebben hersenen die zich nog verder ontwikkelen tot ver na hun 20ste.

Vooral de witte hersenmassa in de frontale kwab groeit bij jonge volwassenen nog. Dit hersendeel speelt een belangrijke rol bij complexe cognitieve taken zoals zelfbeheersing en concentratie.

Davy de Vries 18 juli 2020 11:40

Zelf vind ik het raar dat dit soort admin tools geen ingebouwd triage systeem hebben zoals bijvoorbeeld stack overflow.

Admin A past E-mailadres aan. Admin B krijgt wijziging queue voor zijn kiezen. En stemt dan in met de wijziging. En dan wordt het pas doorgevoerd. Inderdaad dit kost tijd en geld dus. Ik kan me voorstellen dat dit voor normale gebruikers minder relevant is. Maar voor geverifieerde profielen zeker.

Als dan zo’n hack wordt gedaan en Admin B krijgt spontaan veel wijziging over geverifieerde profielen binnen van Admin A weet je dat er iets mis is.

HoppyF @Davy de Vries • 18 juli 2020 17:07

Precies.
Een extra controle voor het geval Admin A gehacked is of door criminelen onder druk is gezet zodat het zijn inloggegevens onder dwang heeft afgestaan. Admin B kan dan alarm slaan.
Geautomatiseerd kan er ook veel omdat er tools bestaan die logging controleren en op allerlei events kunnen reageren. De menselijke factor wordt zo beschermd en het bedrijf in feite ook.
Imago schade loop je snel op zoals nu Twitter.

kodak

Beveiliging en antivirus
Hackers

@Davy de Vries • 18 juli 2020 18:49

Waarom zou een bedrijf daar in willen investeren als het de klanten en investeerders toch niet zo heel veel lijkt uit te maken?

Voor je het antwoord geeft dat het veiliger is: bedenk dat iets veiliger maken meer is dan iets willen voorkomen. Het is ook een investering om een risico weg te nemen die niet gewenst zijn. Waar zien we gebruikers van twitter of investeerders het iets uitmaken of die beveiliging er niet is? En zou het twitter iets uit maken als ze in plaats van 1 persoon tijd in een wijziging te laten steken 2 personen tijd in 1 wijziging te laten steken waarbij het waarschijnlijk ook nog extra tijd gaat kosten voor een klant is geholpen. En wat helpt die investering Twitter dan? Meer tijd en dus geld kwijt zijn aan iets, waar ze winst hadden kunnen maken?

Verwijderd @Davy de Vries • 18 juli 2020 20:49

Maar het is helemaal niet in twitters belang om hier geld aan uit te geven, ze verdienen geld door clicks en media aandacht

beerse 18 juli 2020 10:29

Over Geert Wilders stond op nos.nl staat een aardig verhaal https://nos.nl/artikel/23...ten-het-was-een-grap.html

Die 'misbruiker' had dus gehoord van de hack en daar gevraagd/geregeld om toegang tot het account van Wilders te krijgen en dat was gelukt. Gewoon voor de test, voor de grap. En toen moest hij nog iets verzinnen om te laten zien dat het gelukt was.

[Reactie gewijzigd door beerse op 25 juli 2024 02:10]

RoestVrijStaal @beerse • 18 juli 2020 19:07

Best een dure grap.

$250 lappen om het account over te nemen.

Sergelwd @beerse • 18 juli 2020 21:51

Daarbij was dan weer in één oogopslag te zien dat het om een kleuter ging.

mkools24 @beerse • 18 juli 2020 11:48

Dat is tenminste een leuke hack, daar kon ik wel om lachen

thijs96 @mkools24 • 19 juli 2020 12:31

Maar na deze hack werd er ook een hoop anti zionistisch materiaal verspreid op het twitter account van Wilders en de telegram groep die was aangemaakt.

siren 18 juli 2020 09:42

Twitter bestaat in mijn ogen toch zeker een jaar of 13. Hoe is het mogelijk dat iemand bij meerdere bekende personen hun wachtwoord kan bekijken. Er moeten toch direct alarmbellen gaan rinkelen.

Dit is geen hacken, dit is totale incompetentie.

edit: Ik bedoel dat als er ongeathoriseerde mensen een patientendossier kunnen inkijken er gelijk een registratie van word gemaakt.

[Reactie gewijzigd door siren op 25 juli 2024 02:10]

michelr @siren • 18 juli 2020 09:49

Wachtwoord niet gehackd; email of mobiel gewijzigd en dus toegang tot "reset my password" e.d.
Die admin panels zijn vrij normaal en zelfs wenselijk in geval dat je telefoonnr. of email wijzigt (als gebruiker). Gaat dan om het proces, dat voor geverifieerde accounts er geen controlestap is.

Ook zorgelijk is dat de data van accounts is gedownload
https://twitter.com/Twitt...tatus/1284331132255756288

[Reactie gewijzigd door michelr op 25 juli 2024 02:10]

GateKeaper @michelr • 18 juli 2020 11:14

Wat ik nog vreemder vind, is dat verwijderde berichten dus alsnog in de download te vinden is.

Hoe is dat mogelijk. Als ik iets verwijder, moet ik er toch van uit kunnen gaan dat het ook echt weg is? Ook met de privacy wet in gedachten?

batjes @GateKeaper • 18 juli 2020 11:39

Omdat het veel makkelijker en minder load geeft om "deleted" te veranderen van 0 naar 1. Dan om die hele regel te verwijderen.

Er is ook een heel oude internet wet: Wat je op het internet zet, gaat er niet meer vanaf.
Dit was algemene wijsheid 20+ jaar geleden. Als je het niet ziet, betekend niet dat het weg is.

GateKeaper @batjes • 18 juli 2020 20:25

Euh, nee sorry. Ik ben software ontwikkelaar. Iets verwijderen is makkelijker dan iets verbergen. Verwijderen doe je eenmaal. Iets verbergen moet je op verschillende plekken regelen en beheren.

curry684 @GateKeaper • 19 juli 2020 00:09

Sorry maar dit is niet de facto waar. Verwijderen levert gezeur op met declarative referential integrity, of van die cascading deletes die een halve database leegmikken.

Twitter zit compleet in nosql dus DRI zelf zal ze worst wezen, maar wel tig duizend collections die verwijzen naar gelezen berichten. En die door soft deletes vervolgens als je outdated links uit je mail opent kunnen zeggen "Dit bericht is verwijderd" voor betere UX dan simpelweg 404 Not Found.

GateKeaper @curry684 • 19 juli 2020 09:01

Het principe blijft staan. Ook in nosql is verwijderen makkelijker.

Goed, hun behoefte is dus dat het `id` blijft bestaan? Dan zet je hem op "hidden" maar unset de "content" dan. Zeer kleine moeite.

Of te wel, als je een bericht hebt, zet dan niet alleen "deletedAt: now", maar ook "content: null", en klaar is het weer. Niks spannend aan. Wil je de kans op bugs verkleinen? Dan geen null maar lege string. Dat kan elke junior voor je doen.

Daoka @GateKeaper • 18 juli 2020 22:20

Ligt dit ook niet aan hoe dit geïmplementeerd is? Lijkt me dat je in een tabel het kopje hide maakt en die in de queries meeneemt dat je verder geen extra dingen hoeft te doen. Dat lijkt me ook niet goed voor de fragmentatie van de hardeschijf. En ja SSD harddisks hebben daar minder last van maar deze database bestaat natuurlijk al langer als SSD harddisks bestaat.

GateKeaper @Daoka • 18 juli 2020 23:49

Juist de implementatie zorgt ervoor dat verwijderen makkelijker is. Fragmentatie is echt een non issue.

Mbt verwijderen, verwijderen is echt letterlijk 1 statement en het is gewoon weg. Zelfs als het iets complexer wordt, blijft de logica op 1 plaats. Namelijk de "verwijder functie".

Vervang je verwijderen door verbergen, dan moet je dus

- de verberg functie toevoegen
- tijdlijn aanpassen om verborgen berichten niet te tonen
- zoek functie aanpassen om ze uit te sluiten van zoekresultaten
- export functie aanpassen om ze niet mee te exporteren. (ze zijn immers verwijderd)
- index bijwerken om deze berichten uit te sluiten

Daoka @GateKeaper • 19 juli 2020 10:06

Ik vraag me af of het ook echt zo werkt bij grote databases. Nu ging het om berichten. Maar als we het iets groter maken werkt het dan nog steeds zo.

Voorbeeld: ik zou me Tweakers account wissen. Dat houd dus niet in dat alleen me inlog gegevens gewist worden. Dan moet dus berichten die ik gepost heb ook gewist worden. Alle ratings die ik gedaan heb en gehad heb. Ook alle reacties op mijn berichten moeten gewist worden, me statistieken die ze bijhouden, de persoonlijke informatie die ik (niet) heb ingevuld. Dat lijkt me een aardige klus om te doen voor een datebase en computer. Als ik dan bedenk hoeveel mensen tegelijk twitter bekijken, posten en wissen dan denk ik dat een 0 naar een 1 veranderen sneller gaat. En volgens mij zal fragmentatie dan echt wel gebeuren als er zoveel dingen gewist of aangepast worden. En ja je moet rekening houden met dat je de hidden gedeelte in elke query stopt maar dat is natuurlijk maar eenmalig.

Verwijderd @Daoka • 19 juli 2020 22:41

Me is geen bezittelijk voornaamwoord...

NielsFL @siren • 18 juli 2020 10:58

Vreemder is dat ze kennelijk ook de two-factor beveiliging kunnen uitzetten. Of dat al deze personen dat niet gebruikten.

triflip @NielsFL • 18 juli 2020 11:58

Het uit kunnen zetten van MFA is vrij normaal in een admin pannel. Je kan namelijk de toegang verliezen tot een telefoonnummer of emailadres.

curry684 @NielsFL • 19 juli 2020 00:11

Dat kan in ieder admin panel, zodat je gebruikers kunt helpen wiens foon kapot is, kwijt, nummer veranderd etc.

Lagonas @siren • 18 juli 2020 09:49

Dat is niet gebeurd. Ze konden in de systemen alles wijzigen. Het is logisch dat er systemen zijn die dit kunnen, maar het verbaasd me wel dat ze er extern zo makkelijk (zo komt het over) binnen kwamen.

Kees BOFH @Lagonas • 18 juli 2020 10:23

Het verbaast mij niets, dat is namelijk vrij normaal voor vrijwel elke website. Ik vermoed dat zo'n beetje alle grote en kleine websites wel een admin panel hebben die voor iedereen met de juiste credentials en url open staat.

En zelfs al hadden ze een vpn, het lijkt erop dat twitter gebruikt maakt van okta, als je daar eenmaal een account hebt kun je waarschijnlijk eenvoudig die vpn opzetten.

Er zijn wel oplossingen, en die zullen ze waarschijnlijk nu ook snel uitrollen (kalf en put) maar ik vermoed dat men er eerst tegenaan moet lopen voordat je draagvlak krijgt om deze (vaak draconische) maatregelen te nemen. Grote kans dat een interne security onderzoeker dit allang had aangestipt, maar dat men eerst gehacked moest worden voordat de managers op hoog nivo overtuigt zijn van de noodzaak tot investeren hierin.

droner @Lagonas • 18 juli 2020 10:28

Misschien een (ex) werknemer?

KoffieAnanas @siren • 18 juli 2020 09:51

Het lijkt me eigenlijk ook niet echt hacken, maar meer stelen. Ze hebben informatie weten buit te maken (login gegevens) om vervolgens binnen te komen in accounts.

Ik zou ze dan ook geen hackers willen noemen, maar dieven.

mkools24 @KoffieAnanas • 18 juli 2020 11:46

Wat is de definitie van hacken dan? Moet je persee gebruik maken van een beveilingsbug? Ik vind dit ook wel slim hoor en het mag van mij ook best hacken heten alleen is de methode wat ongebruikelijker, maar je ziet het wel steeds meer naarmate systemen steeds veiliger worden dat men andere methodes gaat gebruiken en dan vooral social engineering.

Iemand die een booter huurt en een ddos aanval uitvoert en zich hacker noemt ok, dat slaat nergens op.

Maar uiteindelijk betekent hacken toch zoiets als zich ongewenst toegang verschaffen tot een beveiligd systeem en hoe je dat dan doet is toch niet relevant lijkt mij.

twizzle @mkools24 • 20 juli 2020 20:12

De meeste security audits bevatten tegenwoordig ook al een groot deel Social engineering omdat het in werkelijkheid een belangrijk aspect is.

Wat stopt mij ervan om datacenter X binnen te lopen en te zeggen dat ik onderhoud moet doen aan systeem Y wanneer je geen goede access control policies hebt.

rickiey @siren • 18 juli 2020 09:48

Ik denk niet dat ze de wachtwoorden konden inzien. Deze zijn denk ik wel encrypt, maar waarschijnlijk wel wijzigen van het wachtwoord. Maar wie weet liegt hij de hele boel bij elkaar en is het een klein bugje ergens waardoor ze het wachtwoord wijzigen konden.

kevin93w @siren • 18 juli 2020 09:48

Het is uit de berichtgeving niet duidelijk of de wachtwoorden misbruikt zijn. De groep in kwestie heeft zichzelf toegang weten te verschaffen tot de interne systemen. Het lijkt mij aannemelijker dat Twitter beschikt over backoffice systemen om berichten op specifieke accounts te plaatsen. Hoe dan ook, het blijft een vermoeden tot het onderzoek bij Twitter is afgerond. Maar dat de veiligheid van wachtwoorden in het geding is geweest is niet zeker.

c.titan @siren • 18 juli 2020 09:49

Ze hadden toegang tot de admin panel, waar ze vermoedelijk wachtwoorden van accounts konden resetten.

w3news @siren • 18 juli 2020 09:54

Er staat niet dat de wachtwoorden inzichtelijk waren van die accounts, maar van een admin account, en via het admin account kun je weer bij die betreffende accounts zonder het wachtwoord te hebben.

FreshMaker 18 juli 2020 10:10

Bij vier tot acht accounts is ook alle data van het account gedownload, waardoor ook verwijderde DM's inzichtelijk zijn.

Ja daarom verwijder je berichten uit je inbox

Net zoals al die tech-monsters,
verwijderen ......-> Visibility to zero
Want ECHT verwijderen, dat is zonde.

Maar kom jij als 'simpele' user aan "ik heb per ongeluk wat verwijderd ..... Nope, sorry, weg = weg

Allemaal leugenaars

Ynst2003 @FreshMaker • 18 juli 2020 10:16

ja, dit vind ik zo storend crimineel aan de techbedrijven van deze tijd.
Facebook, Google, Twitter doen er allemaal aan mee.

Berichten verwijderd?
IsMessageVisible = 1 -------> IsMessageVisible = 0
Niet te controleren als gebruiker, maar je zit wel met de gebakken peren als het ooit uitlekt o.i.d.

[Reactie gewijzigd door Ynst2003 op 25 juli 2024 02:10]

FreshMaker @Ynst2003 • 18 juli 2020 10:25

Mijn FB was in 2015 opgezegd, en de hele mallemolen van linkjes en klikjes doorgelopen om het te verwijderen.
Met een afsluitende mail 'als je de komende 6 maanden niet meer inlogd, verdwijnt je hele profiel, weet je het zeker'
Het WW aangepast naar een 128bits - keepassstring, en alle andere apparaten uitgelogd/

In 2019 na wat ervaringen met anderen, uitgetest, en wachtwoordherstel aangevraagd
5 minuten later was ik online
"welkom terug, we hebben je gemist, dit si wat JIJ gemist hebt"
De hele tijdlijn was hersteld, er was alleen een 'geen activiteit' van 2015 - 2019, maar alle messenger en foto's zowel public als private stonden weer netjes in het rijtje
Mijn 'vrienden' kregen zelfs een berichtje "kijk eens wie er weer terug is !!"

Nogmaals alles opgezegd/gestopt daarna, dus ik 'hoop' dat het nu echt gaat verdwijnen
( not a chance, het enige wat gaat gebeuren, is dat mijn 'forgot password' niet meer zal werken - de data zal vast nog wel bij FB zweven )

Blokker_1999

Hackers
Websites en community's
Twitter
Beveiliging en antivirus

@FreshMaker • 18 juli 2020 10:32

Je kunt altijd eens een verzoek lanceren onder de GDPR om je gegevens op te vragen. Daarna eentje met de vraag om alles te verwijderen om enkele maanden later nog eens dezelfde vraag te stellen.

FreshMaker @Blokker_1999 • 18 juli 2020 10:34

I know, maar stiekem ben ik daar te lui voor

Ynst2003 @Blokker_1999 • 18 juli 2020 10:36

het leuke aan dit soort verzoeken is, is dat ze dan nog meer geverifieerde data over je hebben

/aluhoedje af

ludonis @FreshMaker • 18 juli 2020 11:00

Ik had exact hetzelfde voor...

Alles bestond nog, toen ik contact opnam om een klant in te dienen kwam het excuus dat ik enkel op suspend had geduwd. Nochtans heel zeker dat het delete was...

thibaultvdb @FreshMaker • 18 juli 2020 11:07

Dit zou iemand toch eens moeten uitpluizen.. Ik wil wel weten of een GDPR verzoek echt werkt als ik er ooit gebruik van wil maken.

Jogai 18 juli 2020 11:31

Dit is dus precies de reden dat er nooit een backdoor in software moet zitten...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (66)

Sorteer op:

Weergave: