דו"ח טכנולוגי
התרחיש הגרוע ביותר של פריצת האקרים לטוויטר: יצירת כאוס באמצעות התחזות והונאה
ההאקרים שפרצו לרשת החברתית על מנת לבצע הונאת ביטקוין יכלו באותה מידה לנצל את הגישה לחשבונות של מנהיגים עולמיים על מנת לערער את הסדר הפוליטי העולמי, לגרור מדינות שונות לעימות משמעותי ואולי אפילו למלחמה גרעינית
המתקפה החלה בלילה שעבר. שורה של חשבונות בעלי פרופיל גבוה, ובהם נשיא ארה"ב לשעבר ברק אובמה, המועמד הדמוקרטי לנשיאות ג'ו ביידן, מנכ"ל טסלה אלון מאסק, הפילנטרופ ביל גייטס, איש העסקים והזמר קניה ווסט, ראש העיר ניו יורק לשעבר מייקל בלומברג, איש העסקים וורן באפט, מייסד ומנכ"ל אמזון ג'ף בזוס, והחשבון הרשמי של אפל, צייצו לפתע הצעה מפתה.
"אנחנו מחזירים לקהילה", נכתב בחשבון של אפל, למשל. "אנחנו תומכים בביטקוין ומאמינים שגם אתם צריכים לעשות זאת. כל ביטקוין שיישלח לכתובת למטה יוכפל ויוחזר". "ווסט" צייץ: "אני נותן בחזרה למעריצים שלי. כל ביטקוין שישלח לכתובת שלי יוחזר כפול. אני עושה את זה עד למקסימום של 10 מיליון דולר. רק ל-30 דקות". הציוצים האחרים היו כולם וראיציה על אותו נושא.
התגובה הראשונה והמתבקשת שלכם תהיה, מי תמים מספיק כדי ליפול בניסיון הונאה כה ברור? ובכן, בהתחשב בפופולריות של החשבונות השונים, שכוללים במשותף עשרות מיליוני עוקבים, לא צריך משהו מתוחכם מספיק על מנת להפיל בפח שיעור ניכר מהעוקבים, אפילו לא שיעור בולט. די בשבריר אחוז של משתמשים שייפלו בהונאה על מנת לגרוף לכיס סכומי כסף נאים. ונראה שזה בדיוק מה שקרה: לפי דיווחים, לארנק הביטקוין של האקרים הועברו בסביבות ה-120 אלף דולר לפני שההונאה זוהתה והציוצים הורדו. לא רע ל-280 תווים גג.
התגובה השנייה המתבקשת היא מה לעזאזל קרה כאן? איך הצליחו האקרים לפרוץ במקביל לכל כך הרבה חשבונות מרכזיים. במקרה זה, לא מדובר בכשל מצד המשתמשים כמו שימוש בסיסמה חלשה, מחזור סיסמה או נפילה במתקפת פישינג ממוקדת ומוצלחת נגד בעלי החשבונות. תחת זאת, לדברי טוויטר, המתקפה עשתה שימוש בכלים פנימיים של החברה עצמה.
"זיהינו מתקפת הנדסה חברתית מתוחכמת שכוונה נגד עובדים עם גישה למערכות וכלים פנימיים", הסבירה החברה. "אנחנו יודעים שהם השתמשו בגישה זו כדי להשתלט על חשבונות בולטים (ומאומתים) רבים ולצייץ בשמם. מיד כשנודע לנו על התקרית חסמנו את החשבונות שנפגעו והסרנו את הציוצים שפרסמו התוקפים. גם הגבלנו את הפעילות של קבוצה גדולה של חשבונות, כמו כל החשבונות המאומתים (גם אלו שלא היו ראיות שנפרצו) בשעה שאנו חוקרים".
טוויטר לא הרחיבה לגבי הכלים ששימשו את התוקפים, אך אתר Motherboard דיווח שבפורמים מחתרתיים של האקרים שותפו תמונות מסך של כלי ניהול פנימי של החברה, שלכאורה שימוש במתקפה. כלי זה אפשר לשנות את כתובת האימייל שמקושרת לחשבון, וכך לאפס את הסיסמה ולקבל גישה אליו. האקרים גם טענו בשיחה עם האתר ששילמו לעובדי טוויטר כדי לשנות את כתובת האימייל בחשבונות שהותקפו, אם כי קשה לאמת טענות אלו.
זה לגבי המתקפה עצמה, אך מה בנוגע למניעים שמאחוריה? על פניו, התשובה ברורה: אפשרות לרווח מהיר באמצעות ניצול משתמשים תמימים. חד וחלק. ואולם, האם ייתכן שזו היתה רק חזית למהלך מתוחכם יותר? טוויטר עצמה העלתה אפשרות זו כשכתבה שהיא בודקת "איזו עוד פעילות זדונית בוצעה או לאיזה מידע היה לתוקפים גישה".
הגישה שקיבלו התוקפים לחשבון סיפקה להם גישה גם להודעות הפרטיות בו, ואלו יכולות לכלול מידע פוליטי ועסקי רגיש מאוד. במיוחד כשמדובר על חשבון כמו זה של ביידן או של בזוס. האחד רץ לנשיאות ארה"ב (וכולנו זוכרים מה קרה בפעם הקודמת שהאקרים הגיעו לתכתובות פרטיות של מועמדת לנשיאות), והאחר מנהל את אחת החברות הגדולות בעולם (וכבר נכווה קשות כשמידע פרטי שלו נחשף). לא בלתי סביר שההודעות הפרטיות שלהם כוללות מידע שאם יפורסם עלול לגרום להם נזק, ושיכול לשרת יריבים פוליטיים או עסקיים.
בגלל טבע הפרצה – כתובת האימייל והסיסמה שונו – בעלי החשבון היו מגלים אותה בתוך זמן קצר, מה שלא מאפשר להאקרים להתנחל לעקוב בחשאי אחרי ההודעות. במקרה זה, הרצת הונאת ביטקוין יכולה גם להיות גורם להסחת דעת מהמטרות האמיתיות של המהלך: הוצאת מידע רגיש וניצולו לרעה.
אני חושש שהאירוע הזה מייצג לא רק שורת מתקפות נפרדות אלא מתקפה מוצלחת על האבטחה של טוויטר עצמה", כתב הסנטור הרפובליקני ג'וש האולי למנכ"ל טוויטר ג'ק דורסי. "מיליוני משתמשים נסמכים על השירות שלך לא רק לציוצים פומביים אלא גם לתקשורת פרטית באמצעות הודעות ישירות. מתקפה מוצלחת על שרתי המערכת שלך מייצגת איום על הפרטיות ואבטחת המידע של כל המשתמשים".
וגם תרחיש זה הוא לא התרחיש הגרוע ביותר. התרחיש הגרוע ביותר הוא מה שהיו יכולים הפורצים לעשות עם גישה רחבה לחשבונות בולטים, כולל חשבנות של דמויות פוליטיות מרכזיות. "האיום כאן הוא לא פשוט פרטיות משתמשים ואבטחת מידע", כתב קייסי ניוטון ב-The Verge. "האיום הוא הפוטנציאל של טוויטר ליצור כאוס בעולם האמיתי באמצעות התחזות והונאה. היום הפוטנציאל הזה מומש, ואני רק יכול לדאוג איך, כשהבחירות לנשיאות נמצאות במרחק של פחות מארבעה חודשים, הוא עוד ינוצל. צריך לתהות אילו תוכניות תגובה יש לחברה במקרה שמי שמשתלט כל החשבון הוא לא נוכל ביטקוין אלא שחקן ברמת המדינה או פסיכופת. היום זה כבר לא בלתי-אפשרי שמישהו ישתלט על חשבון של מנהיג עולמי וינסה להצית מלחמה גרעינית".
לא מדובר בתרחיש כל כך מופרך. דונלד טראמפ כבר השתמש בטוויטר כדי לשגר איומים גרעיניים לקוריאה הצפונית. "מנהיג קוריאה הצפונית קים יונג און ציין ש'הכפתור הגרעיני נמצא תמיד על שולחנו'", הוא צייץ לפני כשנתיים וחצי. "שמישהו מהמשטר המדולל והמורעב שלו בבקשה יודיע לו שגם לי יש כפתור גרעיני, אבל שהוא הרבה יותר גדול וחזק משלו, ושהכפתור שלי עובד!". כן, הוא באמת אמר את זה.
לא קשה לדמיין תרחיש שבו משתלט האקר על חשבון הרשמי של נשיא רוסיה, ולדימיר פוטין, ומצייץ שהרגע שיגר טילים גרעיניים לעבר ארה"ב. והאם יש מישהו שיכול להגיד בוודאות של 100% שאין שום סיכוי בעולם שבמידה שטראמפ רואה את הציוץ הזה הוא לא מגיב מיידית בשיגור טילים גרעיניים משלו? לא התרחיש הכי סביר בעולם, אבל גם לא משהו שאפשר להגיד שלעולם לא יתרחש. במיוחד כשמדובר בטראמפ.
ואפילו לא צריך ללכת כל כך רחוק אפשר לגרום לא מעט נזק בציוצים מפי מנהיג זה או אחר שמשתלחים ביריביו בבמה העולמית והמקומית, ולהצית סכסוכים מקומיים אלימים. או דמיינו לעצמכם שביום הבחירות בארה"ב, שעה לפני סגירת הקלפיות, מודיע חשבון הטוויטר של ביידן שהחליט לפרוש מהמרוץ ושהוא קורא לתומכיו להצביע לטראמפ או שלא לצאת לקלפי. או אפילו משהו הזוי פחות, למשל ציוץ מחשבון של המפלגה הדמוקרטית במדינת מתנדנדת שמבשר שבגלל אירוע לא צפוי כלשהו ההצבעה נדחתה למחר ואין סיבה להגיע לקלפי באותו היום.
הרוב המכריע של האנשים לא ייפול בהונאה שכזו, ותוך זמן קצר היא תזוהה, תופרך בתקשורת הארצית והציוץ יוסר. בדיוק כמו שהיה במקרה זה. אבל לא צריך שהרבה אנשים ייפלו בה. מספיק שרק כמה עשרות אלפים, אולי אפילו פחות, של משתמשים תמימים במדינה מתנדנדת שייפלו בפח ויישארו בבית על מנת להטות את תוצאות הבחירות.
המתקפה היום הראתה שמשהו שכזה אפשרי, ולא רק בחשבון נקודתי אלא בצורה רחבה בכמה וכמה חשבונות משפיעים במקביל. טוויטר בוודאי תנקוט בכל הצעדים הדרושים על מנת לוודא שמתקפה מסוג זה לא תתבצע שוב באותה השיטה ובאותם האמצעים. אבל טבען של מערכות גדולות הוא שתמיד יש בהן פרצות וחורים שאפשר לנצל, ואין כמעט שום דרך לסתום את כולן. בפעם הבאה שהאקרים ימצאו חור כזה, זה עלול להיגמר במשהו הרבה יותר חמור מכמה פראיירים שמפסידים 120 אלף דולר.