Twitter CEOのアカウントが通信事業者サービスを介してハッキングされる
2023年8月30日にジャック・ドーシーのTwitterアカウントが攻撃されました。トラブルメーカーが安全なアクセスを破り、アカウントに悪質なコンテンツを大量に投稿しました。これらの反ユダヤ的な投稿は15分以内に4.2百万のTwitter CEOのフォロワー全員に公開されましたが、チームにより取り戻されました。
技術専門家たちは、ハッカーがCloudhopperサービスによって行われるテキストツイートサービスを突破したことを突き止めました。このツールは、Twitterアカウントにアクセスできない場合や、アプリを持たない基本的な電話を持つユーザーがメッセージを投稿するためのものです。上級ツイッターユーザーは、ツイートを送信するための40404コードがあることを知っています。それからシステムはアカウントに紐付けられた番号を入力するよう求め、その投稿が公開されます。これは、アカウント所有者の同意なしに他人の名前で何でも送信できるため、非常に安全でない方法です。
そのため、この「セキュリティの見落とし」により、ブラックハットたちはドーシーのアカウントを手に入れることができました。彼が公人であることを考慮すれば、彼の番号を取得するのは難しくありません。この事件は、広く使用されているSIMカードハッキング方法として専門家に分類されています。発案者の名前も明らかにされており、それはチャックリング・スクワッドです。これが初めてのケースではありません。以前、彼らはドーシーの他の通信事業者であるAT&Tを使って同じトリックをしましたが、会社はこの事件に関するコメントを出しませんでした。
この攻撃は再びアクセス暗号化の必要性を証明しました。Twitterは投稿手続きを簡単にし、すべてのユーザーにサービスを利用可能にしようとしましたが、実際には逆効果になりました。