هک توییتر چطور انجام شد؟ هکرهای دخیل در ماجرا توضیح می‌دهند

هک اکانت بسیاری از افراد سرشناس در توییتر، یکی از برجسته‌ترین اخبار دنیای تکنولوژی در هفته اخیر بود و حالا چند نفر که از نزدیک در جریان این اتفاق بوده‌اند، به صحبت با رسانه «نیویورک تایمز» پرداخته و توضیح داده‌اند که تلاش برای فریب کاربران و به دست آوردن بیت‌کوین، چطور از کنترل خارج شد.

هک توییتر که بسیاری از شخصیت‌های سیاسی، سازمانی و فرهنگی را هدف قرار داد، با یک مکالمه ساده میان دو هکر آغاز شد که در پایان روز سه‌شنبه گذشته در پلتفرم پیام‌رسان آنلاین دیسکورد حضور داشتند. بنابر اسکرین‌شات تهیه شده از این مکالمه که در اختیار نیویورک تایمز نیز قرار گرفته، کسی که نام کاربری‌اش «Kirk» بود می‌نویسند «سلام داداش. من در توییتر کار می‌کنم. این پیغام رو به کسی نشون نده. جدی می‌گم».

او سپس به تفصیل توضیح می‌دهد که چطور می‌توان کنترل اکانت‌های توییتری ارزشمند را به دست گرفت - از آن دست کارهایی که نیازمند دسترسی به شبکه کامپیوترهای داخلی کمپانی است.

هکری که این پیغام را دریافت کرد و با نام کاربری «lol» شناخته می‌شود، طی ۲۴ ساعت بعدی به این نتیجه رسید Kirk واقعا در توییتر کار نمی‌کند، چون به شکلی افراطی تمایل به آسیب زدن به کمپانی‌اش دارد. اما Kirk واقعا به ظریف‌ترین ابزارهای توییتر دسترسی داشت که به او اجازه می‌دادند کنترل تقریبا هر اکانتی را در توییتر به دست بگیرد، از جمله اکانت رییس جمهور سابق آمریکا، باراک اوباما، جو بایدن جونیور، ایلان ماسک و بسیاری سلبریتی دیگر.

علی‌رغم جلب توجه‌های جهانی به این رخنه که اعتماد به نفس توییتر و دیگر تامین‌کنندگان تکنولوژی‌های امنیتی را خدشه‌دار کرده، جزییات اساسی راجع به اینکه چه افرادی مسئول این هک بوده و چطور انجامش داده‌اند کماکان یک راز باقی مانده. مقامات قضایی کماکان در مراحل نخست پژوهش روی این اتفاق به سر می‌برند.

اما چهار نفر که در این ماجرا مشارکت داشته‌اند به صحبت با تایمز پرداخته‌اند و بی‌شمار اسکرین‌شات و لاگ مختلف از مکالمات خود در روزهای سه‌شنبه و چهارشنبه ارائه کرده‌اند. این تصاویر، مشارکت آن‌ها پیش و پس از اینکه جریان هک عمومی شود را اثبات می‌کند.

مصاحبه‌ها نشان می‌دهد که این حمله کار یک کشور واحد مثل روسیه یا یک گروه هکری نابغه نبوده. در عوض این کار توسط گروهی از افراد جوان انجام شده و حتی یکی از آن‌ها می‌گوید که در خانه همراه با مادرش زندگی می‌کند.

تایمز توانسته با تطابق دادن اکانت‌هایی که در اتفاقات روز چهارشنبه دخیل بوده‌اند با اکانت‌های شبکه‌های اجتماعی و اکانت‌های ارز دیجیتال، مشارکت این چهار نفر را در تمام ماجرا تایید کند. این افراد ضمنا خود شواهدی از دخالت‌شان ارائه کرده‌اند که برجسته‌ترین آن‌ها، لاگ مکالمات‌شان در دیسکورد، پلتفرم چت صوتی محبوب گیمرها و هکرها، و همینطور در توییتر است.

Kirk کسی بوده که نقشی مرکزی در حملات ایفا کرده و کسی بوده که پول را از آدرس بیت‌کوینی که در جریان هک منتشر شد خارج کرده. این اطلاعات توسط تایمز و شرکت تحقیقاتی Chainalysis و از طریق تحلیل مبادلات بیت‌کوین به دست آمده است.

اما هویت Kirk، انگیزه‌های او و اینکه آیا دسترسی‌اش به توییتر را با کس دیگری به اشتراک گذاشته یا خیر همگی در پرده‌ای از ابهام باقی مانده‌اند: حتی برای افرادی که با او کار کرده‌اند. مشخص نیست که Kirk چقدر از دسترسی‌اش به اکانت افرادی مانند جو بایدن و ایلان ماسک استفاده کرده تا به اطلاعاتی حساس‌تر دست پیدا کند، چیزهایی مانند مکالمات شخصی آن‌ها در این شبکه اجتماعی.

هکری که تحت عنوان «lol» شناخته می‌شود و یک هکر دیگر که لقب «ever so anxious» را برای خود انتخاب کرده به تایمز می‌گویند که می‌خواستند صرفا درباره کارشان با Kirk صحبت و به او اثبات کنند که تنها در خرید و تصاحب اکانت‌های کمتر شناخته‌ شده‌تر دخالت داشته‌اند. آن‌ها می‌گویند به محض اینکه Kirk به سراغ حمله به اکانت‌های برجسته‌تر رفت (در ساعت ۳:۳۰ عصر روز چهارشنبه به وقت آمریکا)، دیگر با او همکاری نکردند.

lol در دیسکورد به خبرنگار تایمز می‌گوید «من فقط می‌خواستم داستانم را بگویم چون فکر می‌کنم برخی مسائل را راجع به من و ever so anxious روشن می‌کند». او در همین پلتفرم، لاگ مکالماتش را با Kirk را هم به اشتراک می‌گذارند و اثبات می‌کند صاحب اکانت‌های رمزارزی است که از آن‌ها برای مبادلات مالی با Kirk استفاده شده.

lol هویت خودش در دنیای واقعی را فاش نمی‌کند، اما‌ می‌گوید در کرانه غربی آمریکا زندگی کرده و ۲۰ و چند سال سن دارد. ever so anxious هم ۱۹ ساله است و در جنوب انگلیس با مادرش زندگی می‌کند.

محققانی که در حال بررسی ابعاد حمله به توییتر هستند می‌گویند برخی از جزییات ارائه شده از سوی این هکرها، با آنچه شواهد خودشان نشان می‌دهد سازگاری دارد: از جمله اینکه Kirk هم در حمله به اکانت‌های صبح روز چهارشنبه و هم حمله به اکانت‌های VIP در ظهر همان روز دخیل بوده.

تایمز از طریق یک محقق امنیتی در کالیفرنیا به نام «حصیب آوان» قادر به برقراری ارتباط با هکرها بوده. حصیب آوان از آن جهت با این هکرها در ارتباط بوده که آن‌ها قبلا خودش و یک کمپانی فعال در حوزه بیت‌کوین که او صاحبش بوده را هدف قرار داده بودند. این هکرها بعدا به شکلی غیر موفقیت‌آمیز کمپانی فعلی او، یعنی Efani که در زمینه تامین تلفن‌های امن فعالیت دارد، را نیز هدف قرار داده‌اند.

جالب است بدانید که هکر ملقب به Kirk، تا پیش از وقایع روز چهارشنبه شهرت چندانی در دایره هکرها نداشته است. پروفایل او در دیسکورد هم روز ۷ جولای ساخته شده است. محققان امنیتی می‌گویند اما lol و ever so anxious در سایت OGusers.com که برای سالیان متمادی پلتفرم محبوب هکرها برای خرید و فروش نام‌های O.G در شبکه‌های اجتماعی بوده، حسابی شناخته‌ شده‌ هستند. (در پرانتز باید گفت که نام O.G به عبارتی تک سیلابی گفته می‌شود که در فضای مجازی، افراد با آن‌ها شناخته می‌شوند. کلماتی نظیر Kind یا Frog یا Black).

یوزر نیم‌های O.G -که معمولا ورژن کوتاه یک کلمه یا یک عدد هستند- میان گیمرهای آنلاین، توییترها و هکرها حسابی تقاضا دارند. این اسامی توجه‌برانگیز معمولا توسط نخستین استفاده‌کنندگان از یک پلتفرم آنلاین جدید تصاحب می‌شوند. خود عبارت O.G هم مخفف Original Gangsters یا نخستین گنگسترهای یک اپلیکیشن جدید است.

کاربرانی که دیر به سراغ استفاده از یک پلتفرم می‌روند و می‌خواهند هر طور که شده یک نام کاربری O.G داشته باشند، گاهی ارقامی کلان به هکرها می‌پردازند تا این اسامی را از صاحبان اصلی‌شان ربوده و به آن‌ها تحویل دهند.

اواخر روز سه‌شنبه بود که lol با Kirk ارتباط برقرار کرد و ever so anxious هم صبح چهارشنبه در دیسکورد به آن‌ها پیوست. Kirk از آن‌ها می‌پرسد که دلشان می‌خواهد نقش مرد میانی را ایفا کرده و اکانت‌های توییتر را در دنیای زیرزمینی‌شان که در آن بسیار محبوب هستند بفروشند یا خیر. در صورت موافقت، دو هکر سهمی از هر مبادله مالی داشتند.

در یکی از نخستین مبادلات، lol کسی را پیدا کرد که حاضر بود مبلغ ۱۵۰۰ دلار را در قالب بیت‌کوین بابت نام کاربری @y در توییتر بپردازد. پول مستقیما روانه همان کیف پول بیت‌کوینی می‌شد که Kirk همان روز برای دریافت پرداختی‌های مخاطبان بخت‌برگشته اکانت‌های سلبریتی‌ها استفاده کرد.

این گروه یک تبلیغ در OGusers.com گذاشته و در ازای بیت‌کوین، به خواسته‌های کاربران رسیدگی می‌کند. ever so anxious نام کاربری @anxious را برای خودش برمی‌دارد، نامی که مدت‌ها دنبالش بوده است. او می‌گوید: «به نظرم خیلی باحال است که نام کاربری‌ای داشته باشی که بقیه مردم می‌خواهندش.»

همینطور که صبح می‌گذشت، مشتریان بیشتری سرازیر شدند و Kirk هم تقاضای پول بیشتر کرد. او ضمنا به وضوح نشان می‌داد که چقدر به سیستم‌های توییتر دسترسی دارد. او می‌توانست به سرعت بنیادین‌ترین تنظیمات امنیتی هر یوزر نیمی را تغییر دهد و به عنوان اثبات این کار، تصویری از داشبورد داخلی توییتر که تحت کنترل خودش بود می‌فرستاد.

این گروه نام‌های کاربری dark ،w ،l ُ50 ،Vague و بسیاری دیگر را ربود و تحویل صاحبان جدیدشان داد.

یکی از مشتریان آن‌ها نیز هکری شناخته شده در زمینه سرقت نام‌های کاربری بود: مردی جوان که با لقب PlugWalkJoe شناخته می‌شود. در روز پنجشنبه، او به سوژه یک مقاله تبدیل شد که توسط برایان کربز، خبرنگار حوزه امنیت نوشته شد و PlusWalkJoe را به عنوان یکی از برجسته‌ترین بازیگران در رخنه امنیتی توییتر معرفی می‌کرد.

لاگ‌های دیسکورد نشان می‌دهد که گرچه PlugWalkJoe نام کاربری @6 را از ever so anxious تحویل گرفته و اندکی آن را شخصی‌سازی کرده، اما هیچ دخالتی در مباحثات درونی گروه هک توییتر نداشته است. PlugWalkJoe که گفته می‌شود نام واقعی‌اش جوزف اوکانر است، در مصاحبه با تایمز می‌گوید در زمان هک توییتر، برای ماساژ به جایی در نزدیکی خانه‌اش در اسپانیا رفته بوده است.

آقای اوکانر که ۲۱ ساله بوده و اصلیت انگلیسی دارد می‌گوید: «برایم مهم نیست. می‌توانند بیایند و دستگیرم کنند. به آن‌ها خواهم خندید. من هیچ‌کاری نکرده‌ام».

اوکانر می‌گوید سایر هکرها به اطلاعش رسانده‌اند که Kirk بعد از یافتن کانال داخلی کارمندان توییتر در پیام‌رسان Slack، به جزییات مربوط به چگونگی رخنه به توییتر دست یافته و بعد از سرویسی مجزا استفاده کرده که دسترسی به سرورهای شرکت را امکان‌پذیر می‌کردند. هر کسی که مشغول پژوهش روی این رخنه امنیتی است، می‌گوید این جزییات با یافته‌ها تطابق دارد.

تمام مبادلات مالی‌ای که lol و ever so anxious در آن‌ها مشارکت داشتند پیش از آن انجام شد که جهان از هک توییتر باخبر شود. اما اندکی قبل از ساعت ۳:۳۰ ظهر به وقت آمریکا، چند کمپانی فعال در حوزه رمزارز مانند Coinbase در توییت‌هایی خواستار کمک مالی به سایت Cryptoforhealth.com شدند.

Kirk یک دقیقه بعد از به دست گرفتن اکانت توییتری این شرکت، برای lol در دیسکورد می‌نویسد «همین حالا cb [مخفف Coinbase] رو به دست گرفتیم».

لیست مبادلات عمومی بیت‌کوین نشان می‌دهد کیف پول بیت‌کوینی که برای Cryptoforhealth.com ساخته شده بود، در واقع همان کیف پولی است که Kirk تمام صبح از آن استفاده کرده. در چندین پیام که طی صبح چهارشنبه ارسال شده‌اند، ever so anxious درباره نیازش به خوابیدن صحبت می‌کند، با توجه به اینکه در کشور او اندکی دیروقت بوده. اندکی قبل از اینکه هک‌های بزرگ آغاز شوند،‌ او یک پیامک برای دوست‌دخترش می‌فرستد و می‌گوید «وقت خوابه» و بعد از لاگ دیسکورد محو می‌شود.

Kirk به سرعت فعالیت‌هایش را گسترش می‌دهد و از طریق اکانت‌هایی که به سلبریتی‌هایی نظیر کانیه وست و جف بزوس تعلق دارند، شروع به توییت زدن می‌کند: «برای این اکانت خاص بیت‌کوین بفرستید و بعد پول‌تان را دو برابر شده تحویل بگیرید».

اندکی بعد از ساعت ۶ عصر، توییتر بالاخره توانست با مهاجم مقابله کرده و از انتشار توییت‌های بیشتر جلوگیری نماید. اما این کمپانی در واقع مجبور شد دسترسی بخش اعظمی از کاربرانش را به سرویس خود قطع کند و با گذشت چند روز، همچنان در حال بررسی ابعاد اتفاقیست که افتاد.

توییتر در یک بلاگ پست نوشت که مهاجمین بالغ بر ۱۳۰ اکانت را هدف قرار داده‌اند و از میان آن‌ها، به ۴۵ اکانت دسترسی یافته و از طریق آن‌ها توییت ارسال کرده‌اند. این شرکت اضافه می‌کند که از ۸ اکانت هم دیتای خاصی دانلود شده است:

«ما از مسئولیت‌مان نسبت به افرادی که از سرویس‌مان استفاده می‌کنند باخبریم. ما شرم‌زده‌ایم، نا امیدیم و بیشتر از هر چیز دیگر، متاسفیم.»

وقتی ever so anxious ساعت ۲:۳۰ صبح به وقت بریتانیا از خواب بلند شده و سری به فضای آنلاین می‌زند، با دیدن اتفاقی که افتاده، پیامی ناامیدانه برای مرد میانی دیگر، یعنی lol می‌فرستد.  او با اشاره به سود نه‌چندان کلان Kirk از این ماجرا که حدودا معادل ۱۸۰ هزار دلار بود برای lol نوشت: «من ناراحت نیستم، فقط آزرده شدم. منظورم اینست که او فقط ۲۰ بیت‌کوین درآورد».

از سوی دیگر، Kirk که در آخر هویتش مشخص نشد، دیگر به مردهای میانی خود پاسخ نداده و ناپدید می‌شود.