Analyse
Læsetid: 4 min.

Omfattende Twitter-hack kan være toppen af større isbjerg

Denne uges ’insiderangreb’ på Elon Musks, Joe Bidens, Barack Obamas og mange andres twitterkonti er vidnesbyrd om en særlig type sikkerhedsbrist, som det kan være meget vanskeligt at dæmme op for
Twitter-ansatte blev på en eller anden måde narret eller presset til at udlevere deres særlige adgangsprivilegier til selskabets fundamentale systemværktøjer. Herfra kunne angrebspersonerne uhindret drive deres spil.

Twitter-ansatte blev på en eller anden måde narret eller presset til at udlevere deres særlige adgangsprivilegier til selskabets fundamentale systemværktøjer. Herfra kunne angrebspersonerne uhindret drive deres spil.

Olivier Douliery

Udland
18. juli 2020

Chokbølger fra denne uges omfattende hackerangreb på Twitter forplanter sig i disse dage i sikkerhedsindustrien. Forløbet kan minde om de teenagegyserfilm, hvor de overlevende teenagere pludselig opdager, at telefonopkaldene fra den mystiske halssnittende morder hele tiden kom fra deres eget hus.

Flere spørgsmål savner svar: Mange af de største konti på det sociale netværk, blandt disse Joe Bidens, Elon Musks og Barack Obamas, blev kapret og misbrugt i et pyramidespilfupnummer, der skulle berige fupmagerne med overførsler i kryptovalutaen bitcoin. Men hvem stod bag? Og var målet kun at berige sig? Eller udnyttede bagmændene deres adgang til at foretage sig andre ting?

Twitter oplyser, at angrebet ikke var et resultat af en sofistikeret teknologisk afsøgning af sikkerhedsbrister og ikke bestod af individuelle hackninger af de enkelte brugerkonti. I stedet var det tale om »et koordineret og socialt angreb fra personer, som fik held til at trænge ind på nogle af vores medarbejdere og derved få adgang til interne systemer og redskaber«.

Med andre ord: Twitter-ansatte blev på en eller anden måde narret eller presset til at udlevere deres særlige adgangsprivilegier til selskabets fundamentale systemværktøjer. Herfra kunne angrebspersonerne uhindret drive deres spil.

Sektionsopdeling

’Insiderangreb’ er et velkendt fænomen i teknologiens verden. En standardanbefaling fra eksperter i informationssikkerhed går derfor ud på at sørge for ’sektionsopdeling’: Det gælder om at begrænse adgangen til sikre netværk, så indtrængere kan blokeres, så snart de får adgang til den første datasektion, hvorved det bliver lettere at inddæmme skaden.

Samme type adgangsbegrænsninger kan også virke som værn imod medarbejdere, der har skumle hensigter. Sørger man for eksempel for at begrænse adgangen til finansielle data til dem, der arbejder i regnskabsafdelingen, bliver det sværere for udefrakommende hackere at stjæle dem, og samtidig udelukker man, at Frank nede fra salgsafdelingen skal lade sig friste til at snage.

Twitter burde være opmærksomme på trusler af denne art. Selskabet er ramt af flere tidligere insiderangreb: I 2017 lukkede en ansat, »der handlede ureglementeret og på egen hånd«, ned for Donald Trumps twitterkonto, der nåede at være suspenderet i 11 minutter.

Bag denne nedlukning stod en tysker af tyrkisk oprindelse ved navn Bahtiyar Duysak. Han henviste til, at han som moderator følte sig forpligtet til at regere på brugerklager over, at Trump havde overtrådt tjenestens ’fællesskabsregler’, og desuden følte sig sikker på, at »nogen højere oppe i systemet« nok alligevel ville annullere hans deaktivering.

Efter den episode indførte Twitter nye sikkerhedsforanstaltninger med henblik på at hindre gentagelsestilfælde, og måske derfor er den amerikanske præsidents twitterkonto ikke omfattet af det seneste angreb.

Spionage

Før dette havde Twitter været udsat for et mere dystert insiderangreb. I november 2019 kom det frem, at to tidligere Twitter-ansatte var blevet sigtet for at spionere for Saudi-Arabien. En af de to, Ali Alzabarah, var tilbage i 2015 blevet fyret for at tilgå private brugerdata. Over for selskabet forklarede han, at han havde handlet »af ren nysgerrighed«, men allerede dagen efter var han flygtet til Saudi-Arabien.

Den ubekvemme sandhed om insiderangreb er, at ingen aner, hvor hyppigt de forekommer. Var Alzabarah ikke blevet sigtet for spionage, ville offentligheden næppe have hørt om hans adgangsmisbrug. Vi så et lignende tilfælde i 2018, da en Facebook-ansat blev fyret, fordi han på Tinder havde pralet med, at han brugte sin privilegerede adgang til at stalke kvinder online.

Heller ikke denne sag var kommet frem, hvis ikke kvinderne havde klaget – ikke længe efter kunne onlinemediet Vice afsløre, at ikke færre end tre andre Facebook-ansatte var blevet fyret for lignende forseelser.

Nogle selskaber har øjensynlig slet ikke politikker for at hindre insiderdatamisbrug. I 2016 kom det frem, at en gruppe Uber-ansatte jævnligt havde misbrugt deres såkaldte God Mode-indstilling til at spionere imod »fremtrædende politikere, berømtheder og personligt bekendte af andre Uber-ansatte, herunder tidligere kærester og ekskoner«.

Det skræmmende ved det seneste angreb er, at potentialet for katastrofe var langt større end den faktiske skade. Angrebspersonerne var udspekulerede nok til at finde en hemmelig vej til at overtage kontrollen med konti på det sociale netværk. Men de var tilsyneladende kun grådige og uden fantasi til at se andre misbrugspotentialer.

Med deres gennemskuelige fupnummer har de nu smadret den hemmelige adgang, de havde skaffet sig. Hackerne skrev tweets ud på de hackedes konti, hvor de opfordrede twitterbrugere til at overføre penge til en bitcoinkonto med løfter om, at afsenderne ville få det dobbelte beløb retur. De 100.000 dollar, de siges at have narret fra godtroende, blegner i sammenligning med de ulykker, som mere ondsindede angribere kunne have forvoldt.

Der vil altid være insidertrusler. Det er umuligt at færdes på internettet uden at udvise grundlæggende tillid til teknologiens dørvogtere. Men som den seneste hackeraffære igen har gjort meget klart, kan denne tillid være naiv.

© The Guardian og Information. Oversat af Niels Ivar Larsen.

Følg disse emner på mail

Vores abonnenter kalder os kritisk,
seriøs og troværdig.

Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her