Jack Dorsey’i Hackleyen Kümenin Kullandığı Akılalmaz Yol

Dün akşam Twitter’ın kurucusu, ortağı ve birebir vakitte CEO’su olan Jack Dorsey’in 4,2 milyon takipçili resmi hesabı ele geçirildi. Bir küme bilgisayar korsanı hesaba erişmiş ve bu erişimi kendi kümelerini tanıtmak için kullanmıştı.

Bu küme ayrıyeten Jack Dorsey’in hesabından nefret telaffuzunda de bulunmuştu. 15 dakika içinde hesap tekrar denetim altına alındı ancak bu olay, Twitter’ın kurucusunun bile hesaplarında nasıl güvenlik açıkları olduğunu ve telefon tabanlı kimlik doğrulamasının yetersiz olduğunu ortaya koydu.

Pekala, hacker küme Jack Dorsey’i nasıl hackledi?

Kendilerine Chuckle Squad diyen küme, Twitter’ın daha evvel satın aldığı, SMS ile tweet atmayı sağlayan Cloudhopper’a girmeyi başardı. Twitter kullanıcıları, internete erişim sağlayamadıkları vakitlerde Cloudhopper kullanarak kısa ileti yoluyla tweet atabiliyorlar. Sistem yalnızca telefon numaranızı Twitter hesabınıza bağlamanızı gerektiriyor.

Görünen o ki Dorsey’in telefon numarasının denetimini ele geçirmek, düşünülen kadar güç olmadı. Twitter'ın açıklamasına göre sağlayıcının “güvenlik gözetimi” hackerların denetimi ele geçirmesine müsaade verdi. Genel olarak bu çeşit ataklara SIM Hackleme deniyor. Bu olay sayesinde Dorsey’in telefon numarası, diğer bir telefona aktarılabiliyor.

Jack Dorsey, birinci sefer hacklenmiyor:

Dorsey'in hesabını ele geçiren hacker kümesi Chuckling Squad, yıllardır bu numarayı oynuyor ancak bu çeşit bir akının geçmişi, Chuckling Squad'dan ve hatta SIM hacklemeden çok daha eskidir. Bir kullanıcının tweet atmasını kolaylaştıran rastgele bir sistem, bir hackerın hesabın denetimini ele geçirmesini de kolaylaştıracaktır.

Dorsey'in hesabı 2016'da güvenlik firması OurMine tarafından da hacklenmişti. Küme, “güvenlik testi” bildirisiyle kendi web sitelerine yönlendiren bir ilişki paylaşmıştı. OurMine, bu akın sırasında üçüncü taraf eklentilerinden yararlanmıştı.

Bu durum, Twitter için epey utanç verici ve bu yalnızca Jack Dorsey’in hesabının ele geçirilmesi nedeniyle değil. Güvenlik dünyası, yıllardır SIM hackleme olayını biliyor ve Dorsey’in hesabı daha evvel de ele geçirilmişti. CEO’nun hesabının hacklenme olayı, birkaç dakikalık bir kaosun ötesinde milyarlarca dolarlık bir şirket için değerli bir başarısızlık. Umarız Twitter, bu olaydan sonra daha inançlı usuller üretip milyonlarca kullanıcısının telaşlarını dindirebilir.