Włamanie na Twitter

[iMisiek]

Panie Trela a raczej Tomek :-)

W połowie tygodnia e-mail o tytule "Włamanie na Twitter" i zastanawiam sie jak to jest mozliwe?!?

Wydaje mi sie, ale moze nie wiem wszystkiego, sa sposoby na zmiejszesze ryzyka takiego zdarzenia.
Z tego co wiem to Twitter (a przepraszam teraz X) oferuje two-factor authentication i mozna wybrac Authentication app lub klucze U2F. Nie pisze o SMS bo to proszenie sie klopoty. Korystajmy z aplikacji typu password manager (polecam BitWarden) do generowania długich i losowych hasel. A za 10 USD rocznie mamy wersje premium.

Do tego tak gdzie sie da uzywac tylko kluczy U2F (polecam YubiKey). Taki klucz kosztuje jakies 75 USD. Tam gdzie nie da sie uzyc FIDO2 lub U2F to polecam trzymac generowane kody przez Authentication app wlasnie kluczu YubiKey

Takich kluczy najlepiej miec conajmniej 2 sztuki albo wiecej jak potrzeba ale za do 300 USD mozna do wyraznie podnieść swoje bezpieczeństwo cyfrowe.

Tomek co poszlo nie tak z Twoim kontem na X bo chyba na 300 USD to chyba sie stać

[Tomek]

Nie wiem, co poszło nie tak, ale moim zdaniem musiało zacząć się to od jakiegoś wycieku z Twittera, bo...

Wszystkie hasła, których używam, są generowane przez 1Password, mają co najmniej kilkanaście różnych dziwnych znaczków, i nawet ja ich nie znam/nie pamiętam. Niemożliwym jest złamanie ani odgadnięcie takiego hasła. Przez 100% czasu korzystam z VPN, więc jakieś podejrzenie hasła w publicznym WiFi odpada; zresztą Twitter wymusza logowanie po https. Na komputerach mam zainstalowany soft antywirusowy + firewall blokujący z defaultu wszystkie połączenia, chyba że ręcznie dodam regułę, która je zatwierdzi. Wszystko jest up-to-date, firmware na routerze tak samo.

Któregoś dnia dostałem po prostu komunikat, że ktoś się zalogował na moje konto na Twitterze z... Johannesburga. Problem w tym, że zauważyłem ten komunikat kilka dni po fakcie, kiedy hasło do Twittera już zostało zmienione i nie mogłem się na niego zalogować. Ale to nie koniec... na Twitterze miałem ustawiony adres pomocniczy e-mail do odzyskiwania hasła i ten adres był w niepublicznej, prywatnej domenie, która z jakiegoś powodu na początku sierpnia nie została automatycznie przedłużona przez dostawcę (chociaż taka opcja była włączona!). Nie mam zielonego pojęcia dlaczego tak się stało (walczę z supportem), ale wiem, że ta domena miała na tyle kuriozalną nazwę i nie była od lat nigdzie wykorzystana, że najpierw ktoś musiał włamać się do Twittera i dopiero tam podejrzeć, w jakiej domenie jest ustawiony mail do odzyskiwania hasła, a dopiero w drugim kroku przejąć kontrolę nad tą domeną, ustawić sobie skrzynkę pocztową z moim loginem i w ten sposób uniemożliwić reset hasła (linki trafiły już do atakującego). Ta osoba musiała mieć wcześniej dostęp do Twittera, bo Inaczej nie miałaby szans, żeby odgadnąć jaki to e-mail i w jakiej domenie był podany do odzyskiwania hasła.

No a sądzę, że to był wyciek z Twittera, bo w logach, które dostawałem (do czasu) nie było żadnych informacji o nieudanej próbie zalogowania z jakiegoś dziwnego kraju, o wielokrotnym podaniu błędnego hasła czy czegokolwiek takiego. Przyszła tylko jedna informacja, że na Twittera zalogowałem się za pierwszym razem od razu poprawnie z Johannesburga i było już po wszystkim. Ktoś po prostu musiał znać to hasło. To jest mega dziwne, bo nawet ja go nie znałem, ono było przechowywane w 1Password, wypełniałem je automatycznie, a brzmiało jakoś w rodzaju: kasjd_ASLL_345#$$$.-4-32hul23(@

Generalnie z odzyskaniem takiego konta nie powinno być problemu, bo jest tam mój wizerunek, moje nazwisko, moja nazwa firmy, więc łatwo mi udowodnić, że to moje konto, co nie? Do tego płaciłem co miesiąc swoją kartą za subskrypcję Twitter Blue, więc mam rachunki i wyciągi i mogę potwierdzić, że to moje konto i ja je opłacałem, ale... to tylko tak w teorii. W praktyce support Twittera ma to gdzieś i na zgłoszenia odpowiada tylko z automatu, że bardzo cenią moją prywatność ble ble. Wysłałem im wszystkie dane, razem z kopią dowodu osobistego, rachunkiem za płatności etc., a odpowiedź, którą dostałem, brzmi: Sorry, we can't help you with this.

Poguglałem trochę i odkąd Musk przejął Twittera, to ogrom jest takich historii o zhackowanych kontach i o tym, że Twitter kompletnie na to nie reaguje, nawet w przypadku znanych dziennikarzy, sportowców etc. Nie zakładam więc, żeby zareagowali w moim przypadku, dlatego to konto uznaję za stracone.

Dla mnie nauczka z tego jest tylko taka, żeby nigdy więcej nie opierać swojej działalności na platformach, które są kontrolowane przez kogoś innego i do których nie mam żadnych praw i od których realnie nie mogę niczego wyegzekwować. Okazuje się, że budujesz sobie jakieś kanał przez lata, nawiązujesz kontakty, zbierasz subskrybentów (miałem ponad 4000 osób obserwujących), a potem nagle w ciągu sekundy tracisz to wszystko i właściciel platformy ma to gdzieś, nie próbując nawet pomóc w odzyskaniu dostępu do konta. Dokładnie tak samo miałem dwa lata temu z Facebookiem, który permanentnie zablokował mi konto bez podania konkretnego powodu (napisali tylko, że naruszam zasady ich społeczności), chociaż na tym koncie nie napisałem ani jednego postu, no a teraz podobna historia z Twitterem. Ja nawet nie winię atakujących, bo złodziej to złodziej, więc czego można się po nim spodziewać, taki zawód, nie?; ale irytuje mnie potwornie brak jakiejkolwiek reakcji i chęci pomocy ze strony Twittera, zwłaszcza, że byłem płacącym użytkownikiem, którego naprawdę łatwo dzięki temu zweryfikować. No ale jak Musk się chwali, że ograniczył workforce Twittera z 8000 do 1500 osób, to kto by tam miał teraz czas, żeby zajmować się użytkownikami i ich problemami.

PS. Fizycznych YubiKey (nawet tych z odciskiem palca) używam do każdego ważniejszego serwisu, od 1Passworda, przez Gmaila, po Dropboksa. Problem z Twitterem był taki, że aby zarejestrować 2FA, trzeba było mieć zweryfikowany numer telefonu hasłem OTP. Ja mam natomiast komórkę z numerem z Emiratów, na którą ni cholery hasła od Twittera nie chciały przyjść. Zgłaszałem im to na supporcie od trzech miesięcy i bez rezultatu. Potem w końcu podałem numer polskiej komórki mojej żony, ale hasła autoryzacyjne do włączenia 2FA dalej nie przychodziły, a support nie raczył odpisywać na zgłoszenia. Także małe miałem w tym temacie pole manewru.

PS 2. Ja się nie znam na tym do końca i nie wiem czy to możliwe, ale... jakiś tydzień po dacie logowania na Twittera z Johannesburga, dostałem informację z banku, że moja karta kredytowa została zablokowana z uwagi na podejrzane transakcje. Pierwszy raz w życiu mi się coś takiego zdarzyło. Zadzwoniłem na infolinię i dowiedziałem się, że ktoś w Mediolanie próbował kupić torebkę Louis Vuitton za 6000 euro, ale źle podał PIN i transakcja nie przeszła, a bank uznał to za dziwne i zablokował kartę. To była ta sama karta, którą miałem podpiętą na Twitter Ads i do Twitter Blue. Mnie się wydawało, że takie serwisy przechowują te dane kart w jakiś zahaszowany sposób, co uniemożliwia odkodowanie ich danych, no ale tutaj to byłby już ekstremalnie duży zbieg okoliczności, gdyby to był zwykły przypadek. Biorąc jeszcze pod uwagę idealny timing jednego i drugiego wydarzenia, to na 99% musiało mieć jakiś związek, tylko nie mogę zrozumieć jak to by było technicznie możliwe.

[iMisiek]

Ale chwila -

(...)
Zadzwoniłem na infolinię i dowiedziałem się, że ktoś w Mediolanie próbował kupić torebkę Louis Vuitton za 6000 euro, ale źle podał PIN i transakcja nie przeszła, a bank uznał to za dziwne i zablokował kartę. To była ta sama karta, którą miałem podpiętą na Twitter Ads i do Twitter Blue. Mnie się wydawało, że takie serwisy przechowują te dane kart w jakiś zahaszowany sposób, co uniemożliwia odkodowanie ich danych, no ale tutaj to byłby już ekstremalnie duży zbieg okoliczności, gdyby to był zwykły przypadek
(...)


Ale czy to byl
a) błedny PIN (transakcja w sklepie)
czy
b) błedny o CVV2 (tranzakcja zdalna)

No jesli a) to chyba sa jakieskamery w sklepie ale jak bylo b) to wszystko wskazuje ze wyciek z Twiiter

[rebahas]

Z włamaniem do Twittera to mogło być też przez przejęcie Twojej zalogowanej sesji. Pytanie jak korzystasz z Twittera tylko z telefonu czy komputer też? Z kartą to mega dziwne, bo nawet jak w serwisie była zapisana, to raczej nie można podglądnąć jej danych, a przynajmniej nie powinno być takiej opcji, nie wiem czy nawet jeżeli ktoś poznałby te dane, to czy ma możliwość wgrania ich do chipa karty - także obstawiam, że raczej był to zakup przez Internet. Ja dlatego nigdy w żadnych serwisach nie pozwalam na zapisywanie danych karty, bo skoro password manager wkleja tak samo dane karty jak i hasło to lepiej to robić tak.
Rozumiem że karta już zastrzeżona?
Co do social molochów to niestety ale tak to wygląda - pojedynczy człowiek nie ma z nimi szans. Ja w swojej firmie widziałem ostatnio przeboje z o365 gdzie płacimy całkiem sporo za ich usługi a nagle wszystkie wiadomości z naszej domeny zaczęły wpadać do kwarantannych i nikt ich nie widział kto też używa o365. I co? Zgłaszanie na support to jest gadka z botem - nie ma szansy aby pogadać z człowiekiem i tyle w temacie, od miesiąca trwa próba sensownego kontaktu aby coś z tym zrobić.
I tak jak napisałeś - moloch zrobi pstryk i nie ma konta, nie ma np konta na YT i jak nie było backup filmów to cała praca poszła tego się często nie bierze pod uwagę dopóki się to komuś nie przytrafi. Swoją drogą dziwne, że nie ma jeszcze portalu stricte nastawionego na twórców gdzie za sensowną opłatą dostaje się sensowne usługi oraz wsparcie. No ale w sumie to nie dziwne w czasach gdzie wszystko jest "za darmo" niestety :/

[Tomek]

Z tą kartą, to były w sumie trzy próby fizycznych transakcji (najpierw na 6k€, potem na 3k€, a potem na 200€). Dlatego też mnie to zdziwiło, by gdyby to były transakcje w internecie, no to sprawa jasna. Pieniędzy nie straciłem, bo bank to od razu zablokował i zastrzegł kartę, no ale to i tak jest mega dziwne, bo ten Twitter to jedyny serwis, z którego dane karty mogły wyciec, timing włamania i późniejszego użycia karty zgadzałby się idealnie. Innej opcji nie ma, bo z tej karty nie korzystam fizycznie, od miesięcy jej nie miałem w rękach, nigdy nie korzystałem z niej z bankomatu, więc skimming odpada. Nie potrafię znaleźć innego wytłumaczenia. Za duży zbieg okoliczności by był, żeby to były niepowiązane wydarzenia.

No nic, mniejsza z tym, Twittera spisałem już na straty, a na przyszłość postaram się być trochę mniej zależny od dużych korporacji.

[winnie-the-pooh]

Niestety poza PL świadomość zachowania i samo zachowywanie standardów bezpieczeństwa kart jest znacznie mniejsze. W PL mamy mocne skrzywienie (pozytywne) w kierunku bezpieczeństwa. Ale spokojnie jestem w stanie sobie wyobrazić sklep, czy "X", gdzie numery kart są szyfrowane, ale ... hasłem zależnym wprost od hasła do serwisu. A jeśli ono wypłynęło bądź zostało zmienione/poznane to dalej już jest prosta droga. Poza tym poza PL użycie paska magnetycznego (magstripe) do transakcji w sklepie kartą skopiowaną nie będzie podejrzane, nawet w US na lotnisku w Chicago byłem parę razy zmuszony do podania karty do przeciągnięcia w czytniku przy zakupie głupiego hamburgera z kawą, mimo, że terminal był wyposażony w gniazdo dla chipa. Karta Revolut odmówiła współpracy, gdyż wykryła terminal chipowy, ale terminal miał tę funkcję niedziałającą. Musiałem skorzystać z mniej inteligentnej karty (za to wydanej przez przyzwoity bank ogarniający istnienie starych systemów spoza EU).

Przestrzegam przed przykładaniem standardów bezpieczeństwa znanych w PL do Europy Zachodniej (szczególnie do Francji, gdzie masa terminali działa off-line) i do US. Mamy w PL poziom znacznie wyższy. Nie znam sytuacji w rejonach azjatyckim i dalej na wschód.

Mocny punkt dla banku, że im system ładnie ogarnął próbę fraudu. To jest właśnie ten element, którego się często nie docenia poszukując usług bankowych/płatniczych.

[Tomek]

W ogóle polski system bankowy i kartowy w porównaniu, np. do USA, ale też do wielu krajów Europy Zachodniej, to jest na prawdę pierwsza liga. Już nawet nie mówiąc o technologicznych aspektach, ale właśnie choćby sama świadomość zagrożeń czy podejście do kwestii prywatności etc.

Btw, żeby zreplikować pasek magnetyczny i nadrukować go na karcie duplikacie, to potrzebny byłby wcześniejszy fizyczny dostęp do karty, żeby skopiować dane, prawda? W sensie, że z zapisanych na portalu internetowym danych karty (data, nazwisko, numer, CVV) nie dałoby się odtworzyć i zapisać paska magnetycznego na duplikacie?

[winnie-the-pooh]

Skonsultowałem się z zakładowym fachowcem od kart, coby nie pleść głupot z pamięci, ale okazało się, że dobrze pamiętam szkolenie.
Zatem tak, mając dane z e-commerce (nr kart, data, CVC2/CVV2) nie da się sporządzić paska, gdyż na pasku jest CVC/CVV (bez "2") i jest to zupełnie inny kod niż CVC2/CVV2. Ten bez "2" jest używany wyłącznie w transakcjach "card present, MOTO", a ten drugi tylko w e-commerce (czyli w Internecie, bez dyktowania człowiekowi). Ale...tu ponownie wchodzi różnica między PL, a resztą świata. Każdy polski bank ZAWSZE sprawdzi CVC/CVV podczas autoryzacji transakcji. Ale nie jest to regułą poza PL - np. w hotelach często, gęsto wystarczy numer i data ważności (nazwisko nie jest elementem komunikatu autoryzacyjnego). Obsługa w hotelach potrafi w pole CVC w systemie hotelowym wbić "000" i wiele kart banków spoza PL spokojnie kupi taki komunikat autoryzacyjny. Nowsze i przytomniejsze banki taki komunikat odrzucą. Więc jest tu pole do popisu na atak statystyczny - a może przejdzie ? Dodatkowo na magstripe trzeba jeszcze wykombinować tzw. Service Code, który ma flagi wskazujące m.in. czy karta jest wyposażona w chip, czy nie. Wartość tych flag jest pasowana przez terminal do możliwości tegoż terminala oraz wartości kodu CVC/CVV, więc znów trzeba dobrać to wszystko aby miało szansę zadziałać. Znów - ma to sens przy ataku statystycznym, jak się ma dane setek kart - może któraś przejdzie i bank oleje brak CVC/CVV.
Znów plus dla PL - w polskich bankach nie ma szans.

Natomiast jest zero szans na zaprogramowanie chipa z tych danych. Nawet mając fizyczną kartę w ręku - skopiowanie używanej już w systemie karty nie wchodzi w rachubę - nie dość, że tam jest masa kryptografii z kluczami, to są jeszcze wyłącznie rosnące liczniki życia karty - i całość jest nieodczytywalna z chipa - zmiany są wykonywane podczas transakcji i wartość liczników zna tylko chip oraz bank. Chip przekazuje terminalowi wyłącznie komunikaty zaszyfrowane kluczami, które dostał podczas pierwszego programowania, a do których klucze deszyfrujące mają terminale, systemy operatorów terminali oraz sieci MC/Visa/JCB i co tam jeszcze plus bank wystawca karty. I te klucze (np. ten w banku) są unikalne dla każdej karty. Daje to potężne bezpieczeństwo, ale też idealnie śledzi każdą konkretną kartę.

[Tomek]

Wielkie dzięki za wyczerpującą odpowiedź! No to dla mnie wszystko jasne w takim razie.

[Hubert]

Transakcje w Louis Viton mógł zrobić pracownik sklepu wprowadzając dane do terminala , tylko dlaczego zapytało o pin ? Generalnie moto transakcje można robić bez PINu .

[winnie-the-pooh]

Hubert, zależy od setupu karty, czyli od banku.

[winnie-the-pooh]

Tomku, test post testowy na X dziś to Ty, czy banować?

[Tomek]

Ha! Wygląda na to, że dzisiaj udało mi się odzyskać konto. Trochę zbiegiem okoliczności i łutem szczęścia, ale jednak. W sumie ciekawa sprawa, której zakończenie kosztowało mnie "tylko" dwieście dolców, więc powiem jak to było, krok po kroku.

Dostałem dzisiaj maila na mój prywatny adres z potwierdzeniem opłacenia subskrypcji Twitter blue do konta, do którego nie mam dostępu. Jakimś cudem w systemach Twittera zachował się mój dawny prywatny adres e-mail jako adres do celów billingowych, pomimo tego, że włamywacz zmienił od razu główny adres e-mail na jakiś swój własny.

1. W ten sposób dowiedziałem się, że subskrypcja została opłacona przez niejakiego Brahima Bouaidę z Taroudant w Maroko. To już coś.

Invoice.png (134.79 KiB) Przejrzano 4612 razy

2. Wyszukałem go w Google'u i znalazłem jego konto na Facebooku. Potem poprosiłem żonę, żeby się z nim skontaktowała na Messengerze:

FB.png (1.34 MiB) Przejrzano 4612 razy

3. W ten sposób dowiedziałem się o istnieniu grupy na Telegramie, na której pojawiają się oferty sprzedaży przejętych kont na Twitterze. Poscrollowałem tam trochę i odnalazłem ofertę sprzedaży mojego konta. Był tam też numer kontaktowy do sprzedającego z kierunkowym z Izraela.

Telegram.png (1.33 MiB) Przejrzano 4612 razy

4. Skontaktowałem się na Whatsappie z tym numerem i złożyłem ofertę odkupienia swojego konta

WA1.jpg (369.73 KiB) Przejrzano 4612 razy

5. Spędziłem prawie godzinę próbując dowiedzieć się, jak kupić tę cholerną kryptowalutę i i zrobić w tym przelew. (Naprawdę ktoś uważa, że płatności w kryptowalutach mają potencjał, żeby zostać masowym środkiem płatności?) No ale mniejsa z tym. Udało się i odzyskałem w końcu konto

WA2.jpg (295.98 KiB) Przejrzano 4612 razy

6. Wygląda na to, że wszystko działa. Przy okazji po zalogowaniu się na Twittera poznałem numer telefonu osoby, która kupiła i wykorzystywała to konto. Tej samej osoby, która zapłaciła za subskrypcję i którą znalazłem na FB.

TWTR-WA.png (287.83 KiB) Przejrzano 4612 razy

Nie wiem jeszcze, co mógłbym z tym jego numerem zrobić, ale na pewno wymyślę jakiś kreatywny prank, żeby się trochę odgryźć :)

[winnie-the-pooh]

To wskazuje, że atak kartowy był raczej statystyczny niż celowany.

[Tomek]

Może to jednak był zbieg okoliczności, choć bardzo nietypowy. Mniejsza z tym, w każdym razie konto już odzyskałem, zmieniłem numery telefonów, maile, hasła, włączyłem 2FA kluczem fizycznym i mam mocne postanowienie, żeby nie wychodzić z domu bez włączonego VPN :)

[Hubert]

Super że Ci się udało :) Ale cena 200 USD lol niby tacy inteligentni a tacy głupi jednocześnie heheh .

[rebahas]

Może to jednak był zbieg okoliczności, choć bardzo nietypowy. Mniejsza z tym, w każdym razie konto już odzyskałem, zmieniłem numery telefonów, maile, hasła, włączyłem 2FA kluczem fizycznym i mam mocne postanowienie, żeby nie wychodzić z domu bez włączonego VPN :)

Hmmm ale co tu niby VPN ma pomóc albo zmienić? Jak włączysz 2FA kluczem to i tak jesteś narażony na kradzież sesji (cookies session). Tutaj to już zależy od danego serwisu czy np loguje IP z którego się logujesz i jak się pojawi nowe IP to jest blok/ban. Przykładowo logujesz się ciągle z PL a tu nagle logowanie z Hiszpanii to masz dodatkową prośbę o autoryzację, żeby potwierdzić że ty to ty. W każdym razie VPN nic tu nie zmienia, ani nie wprowadza jakiegoś podniesienia bezpieczeństwa - to jest tylko mityczne i marketingowe podniesienie bezpieczeństwa.

https://blog.szurek.tv/post/jak-wyglada ... ajace-2fa/

[Tomek]

Hubert, to chyba jakiś dzieciak jest – on te przejęte konta na Telegramie sprzedaje po 30-60 USD przypadkowym osobom. Myślę, że gdyby od razu zwracał się po okup do właścicieli, to mógłby ceny podnieść dziesięciokrotnie, zwiększając sobie niebotycznie i marżę i skuteczność. Może kiedyś ściągnę go na jakiś kurs robienia biznesu, to jeszcze mi się ten okup zwróci z nawiązką :)

Rebahas, tak, tak, wiem, że to nie powstrzyma przed tego typu atakiem, jak ten, który się tutaj odbył. To używanie VPN i włączanie wszędzie 2FA to była tylko taka bardziej ogólna refleksja odnośnie mojego zachowania w internecie. Chociaż z drugiej strony logując się regularnie i konsekwentnie z jednego i tego samego IP (mam dedykowane w VPN), może faktycznie inaczej Twitter by zareagował na nagłe nietypowe logowanie z drugiego końca świata i wymusił wtedy ponowną autoryzację. Diabli wiedzą, na pewno nie zaszkodzi dołożyć kolejną warstwę zabezpieczenia.

A tak BTW, to na Twitterze to 2FA fizycznym kluczem działa tak, że każde dodanie urządzenia generuje hasło zapasowe na wypadek, gdyby ten klucz został zgubiony, no i za każdym razem można się logować przy pomocy tego samego wielokrotnego hasła zapasowego omijając potrzebę wkładania klucza. Kinda brilliant, isn't it? :P

[rebahas]

Klucze usb czyli mówiąc potocznie yubikey, to zawsze trzeba mieć dwa dodane do konta i wtedy kody zapasowe można sobie w zasadzie odpuścić, więc nie będzie problemu, że ktoś ten kod jakoś podprowadził ;) Jak ma się password manager dobrze zabezpieczony to oczywiście można je tam wrzucić na wszelki wielki. Co do VPN i stałego IP ma to powiedzmy jakiś sens, szczególnie tak jak w twoim przypadku, gdzie przemieszczasz się między różnymi krajami - co najwyżej może być problem jak kiedyś VPN przestanie działać ;) A VPN jaki używasz od pana chińczyka? Jak coś to zawsze polecany jest w światku security https://mullvad.net a nawet w światku ciemnej strony jest to często używane.

[Tomek]

Na Twitterze nie można dodać drugiego YubiKey, dlatego ustawienie zapasowego hasła jest wymuszane :D

VPN mam własne skonfigurowane na prywatnym serwerze AWS we Frankfurcie. Wcześniej korzystałem z SurfShark, który miał dedykowane IP łączące się po WireGuard i było super stabilne/szybkie zarówno na komputerach, jak i na telefonie/tablecie, więc polecam jakby co! Jeszcze wcześniej miałem z NordVPN, ale tam dedykowane łączyło się po zwykłym TCP/IP i trochę zamulało + było niestabilne połączenie, więc nie polecam.

[rebahas]

No WireGuard to też polecam używać gdzie się da, bo to powiedzmy nowe rozdanie w świecie VPN ;)
Co do Twitter/X to się nie wypowiadam, bo tam już od jakiegoś czasu jest grane "czy leci z nami pilot"

Tak czy siak sprawa pozostaje otwarta jak udało się małolatowi gwizdnąć twoje konto.

[rebahas]

[...]

A instalowałeś może ostatnio jakieś programy albo rozszeżenia do przeglądarki? Cały czas się zastanawiam gdzie mogło dojść do wycieku ;)

[Hubert]

No ciekawe to jest tym bardziej że napisał że to był randomowy atak a nie targetowany czyli jego algorytm albo jakiś soft albo jakkolwiek się to nazywa skanuje wszystkie konta na twitter i ma jakiś klucz gdzie widzi ze nie ma jakiś zabezpieczeń i przejmuje sesje . Robi to pewnie hurtowo. Mnie zawsze fascynowało to całe hakerskie życie ale ja osobiście nie mam bladego pojęcia jak oni to robią :)

[Tomek]

No ja też właśnie nie mam pojęcia, ale zakładam dalej, że to był jakiś wyciek/bug po stronie Twittera. Ja nie instaluję żadnego softu z poza AppStore, nie używam żadnych pluginów niewiadomego pochodzenia i nie przychodzi mi do głowy nic, co mogłoby mnie na ten atak narazić. Raz tylko w czerwcu na lotnisku JFK nie mogłem się połączyć z VPN, więc połączyłem komórkę z publiczną siecią i pewnie używałem apki Twittera, no ale ten ruch przez apkę i tak powinien być szyfrowany.

[FreeCashFlow]

Dla mnie nauczka z tego jest tylko taka, żeby nigdy więcej nie opierać swojej działalności na platformach, które są kontrolowane przez kogoś innego i do których nie mam żadnych praw i od których realnie nie mogę niczego wyegzekwować.

To normalne, że tną koszty. Jakakolwiek obsługa klienta przez żywego człowieka jest droga, więc nikt jej nie chce, bo każdy woli automat, zwłaszcza w wielomiliardowej skali BigTechów
Z tego też powodu nigdy nie dają uzasadnień swoich decyzji. Bo uzasadnienie daje możliwość polemiki czy nawet zaskarżenia, a to rodzi koszty obsługi.
Ciężko też jest rozgryźć, rozpracować na jakiej zasadzie taki ich algorytm w ogóle działa, co dodatkowo utrudnia ominięcie jego cenzury spamerom i cwaniakom.

BigTechy doskonale wiedzą co robią.

A to, że pojedyncze osoby stracą konto przez niedoskonałość tych systemów, to po prostu konieczne ofiary, poświęcone na poczet niższych kosztów i przez to wyższych zysków.
Robiłbym tak samo będąc na ich miejscu. Lepszego rozwiązania pod względem finansów/kosztów/zysków brak, gdyby się tak choć przez 5 minut zastanowić.

W PL mamy mocne skrzywienie (pozytywne) w kierunku bezpieczeństwa

Po prostu później weszliśmy w ten system i ominęliśmy wiele przestarzałych technologii, które zadomowiły się na zachodzie.
Pamiętaj, że żeby był postęp, to trzeba najpierw usunąć stare technologie z rynku i stare przyzwyczajenia. W Polsce nie musiano tego robić.

Karty kredytowe tymczasem powstały już przed pierwszą wojną i miały oczywiście fatalne zabezpieczenia. A był to tylko numer karty i podpis jej właściciela, który to podpis nie zawsze skrupulatnie był sprawdzany (pod względem wizualnej zgodności z jego wzorem na karcie) przez sprzedawców.

Tak naprawdę, dopiero wraz z wprowadzeniem chipów karty zaczęły być rzeczywiście bezpieczne. Wszystko poniżej powinno zostać wyeliminowane z rynku.
Osobną sprawą są transakcje zdalne, dla których powinno się stosować albo numery jednorazowe (jak to robi Revolut) albo doładowywanie/rozładowywanie (np mBank).

Bo niestety chipy przy transakcjach zdalnych, to jakoś się nie przyjęły.

Nawet mając fizyczną kartę w ręku - skopiowanie używanej już w systemie karty nie wchodzi w rachubę

Chipa nie da się odczytać, bo to nie jest pamięć tylko mikroprocesor. On nigdy nie zwraca danych które posiada, tylko wykonuje funkcję szyfrującą (podpis cyfrowy) danych, które zostaną mu uprzednio przekazane (poprzez wbudowany port komunikacyjny).
A szyfruje (podpisuje) je za pomocą tzw klucza prywatnego, którego nie da się w żaden sposób odczytać , o ile byś nie rozłożył tego chipa na czynniki pierwsze w jakimś laboratorium.
Płatności zbliżeniowe to też chip, z tą różnicą, że transmisja jest radiowa i także zasilanie chipa/mikroprocesora jest również z fal radiowych, zamiast bezpośrednio przez jego styki.
To po prostu naturalna ewolucja.

Zatem tak, mając dane z e-commerce (nr kart, data, CVC2/CVV2) nie da się sporządzić paska, gdyż na pasku jest CVC/CVV (bez "2")

To jest prawda, ale pytanie czy nie zrobią zakupów pośrednio pośrednio poprzez jakąś usługę lub bramkę (np Curve albo czegoś podobnego).
Hackerzy to kombinatorzy ze swej natury, którzy wymieniają się pomysłami, więc wiesz.....

No ciekawe to jest tym bardziej że napisał że to był randomowy atak a nie targetowany

Praktycznie nigdy nie są targetowane. Są natomiast permanentne i masowe. Atakowani są wszyscy i wszystko co w sieci "widać".
Atakowani są ludzie (poprzez spreparowane emaile, spreparowane strony WWW, itp, podszywające się pod kogoś/coś albo po prostu straszące i grożące), atakowane są też serwery, routery, NASy, atakowane są kamery internetowe. Kamerki to w ogóle jest dosłownie plaga.
Wszystko, cały czas i 24 h/dobę.
Jak ja przeglądam dzienniki swojego serwera, to nie ma dnia ani godziny żeby nie było licznych prób włamań do wszystkiego co ten serwer udostępnia - na stronę WWW, do serwera poczty, do centrali telefonicznej VoIP, do baz danych, itd.
A geolokalizacja ataków jest rozsiana po całym świecie. Atakujący są z afryki, ameryki, azji - jakbyś rzucił groch na globus.

Oczywiście nie znaczy, to że atakujący faktycznie mają swoją lokalizację w tych miejscach. Bo często przejmują też cudze urządzenia i używają ich następnie do dalszych ataków. Także ten kto ciebie atakuje, sam może być ofiarą, nawet o tym nie wiedząc.

Jeśli w konfiguracji serwera jest jakikolwiek błąd, luka w zabezpieczeniach, cokolwiek, to można być pewnym, że serwer ten zostanie co najmniej częściowo przejęty. Sprawdziłem to doświadczalnie, 8 lat temu. Drugi raz już nie zamierzam ani na chwilę.

Oczywiście istnieją też Pegasusy, itp. Ale to dla mnie zupełnie osobna kategoria, którą zajmują się służby państwowe. Będąc zwykłym człowiekiem który nie ma na pieńku władzami, nie warto sobie właściwie tym głowy zawracać
Te Pegasusy to wyjątek od reguły. Wyjątek, bo to ataki targetowane.

no ale ten ruch przez apkę i tak powinien być szyfrowany.

Twitter jest szyfrowany przy pomocy protokołu (a ściślej zestawu protokołów) TLS v1.2. Piszą o tym nawet na swojej stronie w dziale dla developerów.
Absolutnie niemożliwe jest złamanie tego protokołu, nie wspominając o tym, że mógłby to zrobić jakiś dzieciak.
Gdyby ktoś po prostu potrafił złamać TLS v1.2, to była katastrofa na światową skalę. Zapomnij wówczas o bankach, VPNach i właściwie wszystkim co wymaga bezpiecznej komunikacji.

Poza tym nawet w czasach gdy szyfrowanie nie było powszechne, istniały techniki maskowania haseł. Tzn hasła nie latały po sieci otwartym tekstem, tylko były wysyłane jednorazowe niepowtarzalne skróty (ang. hash), które umożliwiały tylko jednorazowe zalogowanie i nie mogły być użyte powtórnie.
Przechwycenie takiego skróty umożliwiłoby co prawda przejęcie sesji, ale już nie przejęcie konta. Gdyż do przejęcia konta konieczna jest zmiana hasła i przez to odcięcie starego właściciela. A do tego potrzebne jest stare hasło, praktycznie na każdym normalnym serwisie.

Niemożliwe jest także złamanie hasła przez bezpośredni atak na Twittera. Każdy serwer zawiera coś takiego jak anti-bruteforce, czyli po iluś nieudanych próbach jest czasowa blokada na IP. Co w praktyce (przy złożonym haśle), umiemożliwia przejęcie konta metodą siłową prób i błędów w jakimkolwiek rozsądnym czasie. Chyba, że ktoś ma na to 1000 lat :-)

Nie sądzę też by miało miejsce przejęcie (zawirusowanie) twojego komputera, gdyż w takim przypadku nikt nie bawi się w twittera, tylko szyfruje co się da i żąda okupu (ransomeware) za odszyfrowanie danych. A takie okupy zaczynają się gdzieś od 1000 do nawet 10 milionów dolarów. Profesjonalista sprawdzi kogo zaszyfrował i ile kasy można z niego wycisnąć, a firmy to już doją ostro.
Widziałem jak wyglądają takie negocjacje. Można oczywiście sporo utargować, ale to i tak jest masakra finansowa.
Ostatnio np rozbita grupa hackerska Lockbit wyłudziła w ten sposób w sumie 120 milionów dolarów od "klientów"

Gdybym miał obstawiać, to postawiłbym dolary przeciw orzechom, że dostałeś albo jakiegoś emaila albo na jakiejś stronie był osadzony "pseudo-Twitter", który przechwycił twoje hasło.
Ostatnio tak przejęli np konto na Facebooku Ziemkiewiczowi (ten prawicowy dziennikarz).
Z doświadczenia bowiem wiem, że zwykli użytkownicy mają problem odróżnienia prawdy od fałszu, rzeczy rzeczywistych od sprawnie sfingowanych. Nie znam osobiście osoby spoza IT, która by miała 100% skuteczność w rozpoznawaniu podszywania się.

Tutaj pomoże ci dlatego YubiKey albo Token, lub cokolwiek innego działające na podobnej zasadzie. Bo podobnie jak chip w kartach płatniczych, jest to mikrpocesor, a generowane przez to dane autoryzacji są wyłącznie jednorazowe. Niemożliwe jest skopiowanie czegoś takiego, bez fizycznej tego kradzieży.
W tej sytuacji, nawet jeśli dasz się gdzieś nabrać i ktoś wyłudzi twoje hasła, to i tak nic nie zyska, o ile nie ukradnie ci jednocześnie fizycznie YubiKeya, lub Tokena.