Doğrulanmış Twitter hesaplarını kim, nasıl ele geçirdi?

Çarşamba akşamı Twitter tarihinin en ciddi hesap ele geçirme operasyonlarından biri yaşandı. Politikacılardan şarkıcılara, büyük markalardan kripto para borsalarına çok sayıda onaylanmış hesap ele geçirilerek bu hesaplardan adresi verilen bir bitcoin hesabına yollanacak her miktarın iki misli olarak geri yollanacağını belirten bir mesaj yayımlandı. Bu tip kripto dolandırıcılık mesajları görülmemiş vaka değil. Çoğunlukla inanıp da oltaya gelen olmaz. Ancak böyle bir operasyonun aralarında Eski ABD Başkanı Barrack Obama, Amazon’un CEO’su Jeff Bozos, SpaceX’in CEO’su Elon Musk, Microsoft’un Kurucusu Bill Gates, Kim Kardashian, Kanye West, Joe Biden gibi ünlü isimler, Apple ve Uber gibi büyük şirketler ve Binance, Coinbase ve Coindesk gibi kripto para borsalarının hesapları ele geçirilerek yapılması inandırıcılığı arttırmış olmalı ki dolandırıcılar ilgili hesapta 392 ayrı ödemede toplamda 117 bin dolar toplamayı başardı.

Ele geçirilen çok takipçili büyük hesapların giriş için tek seferlik anahtar ya da en azından iki faktörlü doğrulama kullanmıyor olma olasılığı sıfıra yakın olduğundan gözler doğrudan Twitter’a döndü. Twitter’dan yapılan ilk açıklamada hesapların şirketin bazı çalışanlarını hedef alan koordineli bir sosyal mühendislik saldırısıyla ele geçirildiği ve araştırmanın sürdüğü duyuruldu. Twitter şimdilik kısa bir açıklamayla yetinse de dijital güvenlik üzerine çalışmalarıyla tanınan, Araştırmacı Gazeteci Brian Krebs’in analizi bize ele geçirmelerin nasıl gerçekleştiğine dair daha detaylı bir tablo sunuyor. Krebs saldırının gerçekleştiği çarşamba akşamından önce SIM değiştirme saldırıları üzerine çalışan grupların forumlarında herhangi bir Twitter hesabının bağlı olduğu e-posta adresinin değiştirilmesinin 250 dolardan, eski ve sadece birkaç karakterden oluşan kullanıcı adlarına sahip Orijinal Gangster(OG) olarak da anılan hesapların çalınıp devredilmesi operasyonlarının ise 2-3 bin dolardan satılmaya başladığını ve @6 ile @b gibi bazı hesapların bu dolandırıcılıktan önce ele geçirildiğinin kanıtlarını sunuyor.

Krebs’in sunduğu kanıtlar bununla sınırlı değil. Ele geçirilmiş @b hesabından Twitter’ın muhtemelen sınırlı sayıda çalışanının erişim yetkisi olan yönetici araçlarının ekran görüntüsü atılmış. Krebs yine benzer şekilde Twitter yönetici araçlarının ekran görüntüsünü atan @shinji hesabı ile “PlugWalkJoe” olarak tanınan ve çok sayıda SIM değiştirme saldırısının arkasında olduğu düşünülen kişi ve 2019’da Twitter CEO’su Jack Dorsey’in hesabını ele geçiren ekip olduğu tahmin edilen ChucklingSquad arasında doğrudan bağ kuruyor. Ardından kendi kaynaklarına dayandırarak PlugWalkJoe’nun benzer bir sosyal mühendislik numarası ile tespit edilmiş kimliğini de açıklamayı ihmal etmiyor: İspanya’da okuduğu üniversiteyi yeni bitirmiş ancak koronavirüs kısıtlamaları nedeniyle ülkesi İngiltere’ye henüz geri dönememiş Joseph James Conor adında 21 yaşında Liverpool’lu bir genç.

Sunduğu kanıtları göz önünde bulundurarak -doğrudan kaynaklarına dayandırdığı PlugWalkJoe’nun kimliği dışında- Krebs’in iddialarının doğruluk payı oldukça yüksek görünüyor. Twitter’ın açıklaması ve Krebs’in analizi bizi devasa bir sorunla karşı karşıya bırakıyor. Bir kısmı normalde tek seferlik anahtarlar ile erişilebilen hesaplar dahi ya şirketlerin çalışanları çeşitli sosyal mühendislik numaraları ile aldatılarak ya da içeriden bir çalışanın iş birliği ile ele geçirilebiliyor. Bu ele geçirme şaibeli tweetler atılıp da kaos başlayana dek Twitter tarafından fark edilmiyor. Yönetici hesaplar üzerinden yapılan e-posta değişikliği ya da çok faktörlü doğrulamanın kapatılması gibi işlemlerden kullanıcılara herhangi bir bildirim gelmediğinden hesapları ele geçirilen kullanıcıların da durumdan haberdar olmaları zaman alabiliyor. Hesaplara tümüyle ele geçirildiğinden özelde yapılan yazışmalara da kolayca erişilebiliyor. Çok sayıda onaylı büyük hesabın ele geçirilip bunun fark edilmemesi ise Twitter’ın iç işleyişinde aşırı yetkilere sahip ve kararları bir başkası tarafından onaylanmayan/denetlenmeyen tam da bu yüzden bu vakadaki güvenlik krizine yol açan yönetici hesaplarının varlığına işaret ediyor.

Bu metotların dolandırıcılık ile bitcoin elde etmek için değil de dış politikada ya da seçimlerde vb. kullanılmasının kısa süreli de olsa yaratabileceği devasa kaosu bir an için gözünüzde canlandırmaya çalışın. Hesap ele geçirerek provokasyon yaratmanın daha küçük örnekleri çeşitli şekillerde zaten yaşanıyor ancak mevcut tablo bunun devletler arasında krize yol açabilecek düzeyde dahi yaşanmasının mümkün olduğunu açıkça ortaya koyuyor. Twitter vakanın detaylı bir raporunu yayımladığında bu saldırı şeklinin olası etkilerini daha detaylı anlayabilir ve daha detaylı tartışabiliriz. Ancak kesin olan şu ki Twitter ve benzeri platformlar iç güvenlik açısından işleyişlerini bu gerçekliği gözeterek revize etmek zorunda.