Некоторые пользователи Twitter, в том числе ряд ИБ-специалистов и активистов, борющихся за право на приватность, были уведомлены о том, что их аккаунты подверглись атаке со стороны спонсируемых спецслужбами хакеров. Уведомления начали приходить на электронную почту потерпевших пару дней назад и не предоставляют сколь-либо подробной информации.

В уведомлениях, рассылаемых от имени соцсети Twitter, говорится о том, что хакеры, вероятно, имеющие отношение к «правительству», пытались похитить адреса электронной почты, IP-адреса и телефонные номера, привязанные к аккаунту. Пока неясно, случилось ли это из-за взлома систем Twitter или все-таки стало результатом целевой атаки.

«В настоящий момент у нас нет сведений о том, что ваша персональная информация была скомпрометирована, но мы активно расследуем инцидент, — говорят в Twitter. — Мы были бы рады поделиться с вами подробностями, но в настоящий момент их нет».

Многие пользователи, получившие уведомления, каким-либо образом связаны с сетевыми активистами и поборникам приватности — например, Кэсси (Cassie), руководитель проекта CryptopartyMN.

«Я увлекалась и политикой, и технологиями с ранних лет, поэтому есть вероятность, что я могла перейти дорогу властям, — заявила она Threatpost. — Но, конечно, вопрос в том, кто стоит за этой атакой».

«Я благодарна команде Twitter за то, что они вообще меня уведомили, но было бы неплохо, если бы они могли предоставить более подробную информацию об атаке, в частности почему они подозревают, что хакеров спонсировало правительство. Я понимаю, что сейчас компания ведет расследование и правила обязывают скрывать его ход, но для тех, кто получил подобные уведомления, важно знать все об инциденте, чтобы понять, каков риск», — добавила Кэсси.

Канадская НКО coldhak первой призналась, что подверглась атаке. В своем материале ресурс Motherboard, ссылаясь на самих coldhak, считает, что существует множество причин атаки на организацию — например, ее основатель Колин Чайлдс (Colin Childs) работает с проектом Tor, к тому же компания обеспечивает работу релей-серверов анонимного Интернета. Личный аккаунт Чайлдса тоже был скомпрометирован, пишет Motherboard.

Руна Сэндвик (Runa Sandvik), ИБ-исследователь и ярый сторонник права на приватность, в прошлом отвечавшая за развитие проекта Tor, также получила уведомление.

«Сообщение не принесло большой пользы. В нем говорилось, что мой аккаунт был атакован, но при этом Twitter не предоставил никаких рекомендаций относительно моих дальнейших действий, — рассказывает Сэндвик. — Может, мне надо поменять пароль? Или email? Или номер телефона? Я не знаю. Но при этом Twitter впервые уведомляет пользователей о целевой атаке».

Эксперт критически отнеслась к рекомендации Twitter использовать браузер Tor, так как соцсеть часто блокирует таких пользователей.

«В Twitter мне предложили использовать Tor. Однако  пользователи, которые заходят в Twitter через Tor и не предоставляют свой телефонный номер, часто сталкиваются с блокировкой аккаунта, — говорит Сэндвик. — Хотя в Twitter и утверждают, что не блокируют пользователей Tor, компания не предпринимает никаких шагов, чтобы помочь им».

Кэсси согласна с Сэндвик: «Меня даже рассмешило предложение Twitter использовать Tor — не потому, что это неправильно, а из-за особенностей Twitter: соцсеть часто блокирует пользователей Tor из-за подозрительного трафика. Для восстановления доступа пользователь должен предоставить телефонный номер. А теперь, оказывается, номера пользователей могли быть скомпрометированы».

В октябре соцсеть Facebook объявила о том, что будет предупреждать пользователей об атаках, осуществляемых спецслужбами; из-за своей сложности такие инциденты сразу привлекают внимание службы безопасности соцсети.

Facebook подчеркнула, что предупреждения будут рассылаться лишь при наличии неоспоримых доказательств того, что атакующая группировка работает на правительство, хотя критерии, по которым соцсеть определяет подобные атаки, неизвестны. Также пользователям будут предложены технические средства минимизации последствий — функция LoginApprovals уведомляет пользователя о том, что вход был осуществлен с нового устройства или браузера.

Категории: Кибероборона, Хакеры