2020-07-twitter-hack

# Twitter Hack - Engenharia Social e Bitcoin Scam (Julho 2020) > [!danger] Hackers Controlam @Obama, @Biden, @Musk Simultaneamente > Em 15 de julho de 2020, uma serie de contas verificadas de alto perfil no Twitter postou simultaneamente uma mensagem de golpe: "Estou dando de volta ao meu comunidade - todo Bitcoin enviado para este endereco sera devolvido em dobro". As contas comprometidas incluiam **Barack Obama, Joe Biden, Elon Musk, Bill Gates, Apple, Uber, Kanye West e Coinbase**. O vetor nao foi uma vulnerabilidade técnica no Twitter - foi **engenharia social pura**: um grupo de jovens (o maior tinha 22 anos) manipulou funcionarios do Twitter via Slack e chamadas telefonicas para obter acesso a ferramentas administrativas internas, resetar emails e senhas das contas-alvo. --- ## Attack Flow ```mermaid graph TB A["📞 Engenharia Social - Funcionarios Twitter Phishing de voz e mensagens Se passando por TI interno"] --> B["🔧 Acesso a Admin Panel Interno Ferramenta @admin do Twitter Resetar email e 2FA das contas"] B --> C["📱 Controle de 130 Contas Obama, Biden, Musk, Gates Apple, Uber, Coinbase"] C --> D["📢 Publicacao do Golpe Bitcoin Dobro do valor enviado Jánela de 30 minutos"] D --> E["💰 Receita do Golpe US$ 120 mil em BTC 400+ transações"] D --> F["🔇 Contra-Medidas Twitter Contas verificadas desativadas Tweets removidos em minutos"] E --> G["🚔 Investigação Federal FBI e IRS Criminal Investigation 3 presos em agosto 2020"] ``` --- ## O Método: Engenharia Social sem Vulnerabilidade Técnica O ataque revelou que a maior vulnerabilidade do Twitter nao estava no código - estava nas **pessoas**. Os atacantes, operando num servidor Discord chamado "OGUsers" (especializado em venda de usernames valiosos), identificaram funcionarios do Twitter como alvos. O grupo usou técnicas clássicas de **vishing** (phishing por voz): 1. Ligaram para funcionarios se identificando como TI interno do Twitter 2. Criaram um site falso de intranet do Twitter para coletar credenciais VPN 3. Com credenciais VPN, acessaram sistemas internos incluindo ferramentas de aténdimento ao cliente 4. A ferramenta interna permitia "tomar conta" de qualquer conta, resetar email e desabilitar 2FA O que surpreendeu analistas: os atacantes nao precisavam de qualquer conhecimento de segurança ofensiva sofisticado. **Engenharia social básica e um site phishing** foram suficientes para comprometer o sistema de autenticação interna do Twitter. --- ## As Contas Comprometidas As 130 contas comprometidas incluiam alguns dos perfis mais seguidos do mundo: **Politicos:** Barack Obama (130M seguidores), Joe Biden (campanha presidencial), Kamala Harris **Tecnologia:** Elon Musk, Bill Gates, Jeff Bezos **Corporativo:** Apple (oficial), Uber, CoinDesk, Coinbase, Binance **Entretenimento:** Kanye West, Kim Kardashian O timing era particularmente sensiveis - estava a menos de 4 meses das eleicoes presidenciais americanas. Autoridades de segurança eleitoral expressaram preocupacao sobre o potencial de uso de contas politicas para desinformação. --- ## Os Hackers: Jovens Sem Antecedentes Sofisticados A investigação revelou que os responsaveis eram surpreendentemente jovens: - **Graham Ivan Clark** (17 anos, Tampa, FL) - o principal coordenador - **Nima Fazeli** (22 anos, Orlando, FL) - corretagem de acesso a contas - **Mason Sheppard** (19 anos, Reino Unido) - atuou como intermediario Clark foi acusado de 30 crimes no estado da Florida e condenado a 3 anos de prisao. O caso evidenciou que **adversarios altamente capazes nao precisam ser grupos APT estatais** - jovens com motivacao financeira e habilidades de engenharia social podem comprometer infraestrutura critica. --- ## Impacto na Segurança de Plataformas O Twitter respondeu temporariamente **bloqueando todos os tuites de contas verificadas** - incluindo politicos, governos e jornalistas - durante a crise. A medida demonstrou quao dependente a comúnicação global se tornara da plataforma. As consequencias de longo prazo incluiram: - **Revisao do modelo de acesso interno** do Twitter a ferramentas administrativas - **Principio do menor privilegio** para ferramentas de suporte - **MFA obrigatorio** para funcionarios com acesso a ferramentas privilegiadas - **Auditoria de acesso** a ferramentas administrativas em tempo real - Pressao regulatoria do FTC sobre práticas de segurança interna --- ## Relevância para LATAM e Brasil O golpe de Bitcoin afetou usuarios brasileiros diretamente - algumas das contas comprometidas tinham audiencias significativas no Brasil. O evento acelerou discussoes no [[cert-br]] sobre **insider threat** como vetor de ataque e a necessidade de controles internos robustos. No contexto do golpe de Bitcoin: o Brasil e o terceiro maior mercado de cripto do mundo. Golpes similares - usando contas comprometidas de influenciadores brasileiros para promover esquemas - tornaram-se frequentes após 2020. A [[anpd]] monitorou o caso como precedente para responsabilidade de plataformas. --- ## Cronologia do Incidente | Data | Evento | |------|--------| | 15 Jul 2020 | Golpe executado - tuites publicados por 30 minutos | | 15 Jul 2020 | Twitter desativa contas verificadas por horas | | 15 Jul 2020 | US$ 120 mil em BTC arrecadados antes do bloqueio | | 16 Jul 2020 | Twitter confirma engenharia social como vetor | | 30 Jul 2020 | FBI prende Graham Clark (17) em Tampa | | Nov 2020 | Nima Fazeli e Mason Sheppard indiciados federalmente | | Mar 2021 | Clark aceita acordo - 3 anos de prisao juvenil | --- ## Referências CTI | Elemento | Ligacao | |----------|---------| | Técnica MITRE | [[t1598-phishing-for-information]] - coleta de credenciais | | Técnica MITRE | [[t1078-valid-accounts]] - uso de credenciais internas | | Técnica MITRE | [[t1199-trusted-relationship]] - abuso de acesso privilegiado interno | | Setor Afetado | [[technology]] - plataformas de midia social | | Evento anterior | [[2018-03-cambridge-analytica]] | | Evento posterior | [[2020-12-fireeye-breach]] | --- > [!info] Navegacao - Eventos Relacionados > [[2018-03-cambridge-analytica]] | [[2020-12-fireeye-breach]] | [[2022-03-lapsus-microsoft]] | [[_timeline]]