Un grupo de exempleados de Twitter están tras la pista de cómo pudo ocurrir el ciberataque a la plataforma que vulneró cientos de cuentas verificadas, incluidas las de personalidades como Elon Musk, Bill Gates, y Brack Obama, entre otras.
De acuerdo con CNN Business, en un grupo cerrado de Slack (plataforma de comunicación digital) antiguos trabajadores de Twitter, algunos del área de seguridad, abrieron una investigación no oficial sobre cómo fue que se pudo vulnerar la plataforma; buscan reconstruir la ruta en función de su conocimiento de los protocolos internos. Con lo que se suman al FBI, el Congreso estadounidense y la misma compañía en la búsqueda de las respuestas.
Twitter, que ha sido hermética ante la situación, dijo que el ataque fue una compleja “ingeniería social” contra su fuerza laboral y que éste era dirigido a trabajadores que tenían privilegios administrativos, desde donde tomaron control de las cuentas para enviar los mensajes fraudulentos.
El New York Times informó el viernes, con entrevistas a personas involucradas en los eventos, que el ataque fue obra de un grupo de jóvenes que aprovecharon su acceso a la herramienta.
Con base en la explicación preliminar de Twitter y las capturas de pantalla circulantes, los antiguos empleados concluyeron que los hackers accedieron a una plataforma administrativa conocida internamente como “herramientas de agente” o la “IU de servicios de Twitter”, la cual está diseñada para que los empleados manejen las solicitudes de atención al cliente y moderen el contenido.
Cientos de empleados de Twitter tienen acceso a herramientas de agentes, según una de las personas que participaron en las discusiones de los exempleados. Es una plataforma poderosa que puede mostrar los números de teléfono celular de los usuarios de Twitter si los han registrado en la compañía, así como la geolocalización de los usuarios y cualquier dirección IP que se haya utilizado para acceder a la cuenta, dijo la persona.
Según los expertos, no es inusual la existencia de esas herramientas en las empresas tecnológicas, sin embargo, la pregunta es “es, ‘¿A qué nivel de cuenta [de empleados] se accedió?¿Twitter está haciendo algo para segmentarla adecuadamente de los derechos de superusuario [de los empleados]?” dijo Ashkan Soltani, experto en seguridad y extecnólogo jefe de la Comisión Federal de Comercio
Lo que probablemente ocurrió, dijeron los exempleados, es que los atacantes usaron la herramienta para cambiar las direcciones de correo electrónico asociadas con las cuentas de Twitter específicas, luego enviaron instrucciones para restablecer la contraseña a nuevas direcciones de correo electrónico bajo el control de los piratas informáticos. Una vez que los piratas informáticos pudieron modificar las contraseñas de los usuarios, pudieron iniciar sesión en las cuentas de Twitter como si fueran los propietarios legítimos.
Por lo que los propietarios de las cuentas podrían seguir en ellas sin notar que alguien más tomó posesión. En este caso, la autenticación por medio del correo electrónico o el número pudo ser obviado, explicaron los exempleados.
Si la teoría de los antiguos empleados es correcta, entonces todo lo que los ciberatacantes debían hacer era deshabilitar la autenticación de dos pasos (si estaba habilitada), cambiar la dirección de destino para restablecer la contraseña, luego cambiar las contraseñas de las víctimas e iniciar sesión con las nuevas credenciales.
Twitter sostiene que no hay evidencia de que se hayan robado las contraseñas, pero aún investigan si los “datos no públicos” pueden haber sido comprometidos.
Con información de CNN Business