Twitter zegt dat de hack van zijn interne systemen heeft plaatsgevonden via gerichte telefonische phishing bij medewerkers. Aanvallers kregen daardoor inloggegevens van specifieke medewerkers in handen, waarmee ze interne systemen binnendrongen.
Volgens Twitter richtten de aanvallers zich met telefonische spear phishing op een klein aantal medewerkers. Om berichten te kunnen plaatsen met bekende accounts moesten de aanvallers zowel toegang krijgen tot het interne netwerk van Twitter, als tot inlogdetails van specifieke medewerkers, schrijft de dienst.
De medewerkers die doelwit waren, hadden niet allemaal toegang tot de beheertools die uiteindelijk werden gebruikt om accounts over te nemen. De aanvallers konden met de inloggegevens van die medewerkers echter de interne systemen binnendringen en 'informatie vergaren over processen'. Met die kennis konden de hackers andere medewerkers aanvallen, die toegang hadden tot de support tools.
Volgens Twitter hebben de aanvallers gecoördineerde pogingen gedaan om medewerkers te misleiden en misbruik te maken van 'menselijke kwetsbaarheden'. Technische details geeft Twitter niet, maar de dienst zegt dat een technisch rapport later volgt, nadat onderzoek van opsporingsdiensten en een eigen intern onderzoek is afgerond. Twitter wordt onder andere bijgestaan door de FBI.
Het sociale netwerk herhaalt nog eens dat de hackers zich hebben gericht op 130 Twitter-accounts nadat zij toegang kregen tot de tools van het bedrijf. Ze slaagden erin om vanaf 45-accounts tweets met bitcoinscams te versturen. Bij 36 accounts zijn de privéberichten ingezien en van 7 niet-geverifieerde accounts is alle Twitter-data gedownload, via de daarvoor bestemde functie van de dienst.
Door verschillende publicaties zijn reconstructies gemaakt over hoe de hack heeft kunnen plaatsvinden, aan de hand van informatie van insiders. The New York Times publiceerde een artikel over de jonge mensen die achter de aanval zouden zitten. Die zouden afkomstig zijn uit een scene die zich richt op handel in Twitter-accounts met weinig tekens. Beveiligingsonderzoeker Brian Krebs publiceerde ook inhoudelijke uitleg, net als de eigenaar van @6, een van de overgenomen accounts.