TIP#2612: Jak je možné, že někomu hacknou účet na Twitteru? Jak se tomu bránit?

Je to každou chvilku. Hacknuté účty na Twitter od organizací i jednotlivců u kterých je i dost jisté, že dbají základních bezpečnostních opatření. O těch co nedbají, ani nemluvě. Twitter přitom nabízí rozumné metody zabezpečení účtu, takže je otázka. Jak je to možné?

Bez dvoufaktoru jste nahraní

Účet na Twitteru si samozřejmě musíte chránit dvoufaktorem. Samotné heslo (e-mail ani nemusí hacker zná, stačí název účtu) účet neochrání, tak jako kdekoliv jinde. Mít dvoufaktor by teoreticky mělo stačit. Tedy za předpokladu, že někde nenaletíte na nějaký sofistikovaný sociální inženýring (nebo napadený počítač či mobil) co vás nejen přinutí poskytnout heslo, ale také útočníkovi předat kód dvoufaktoru. 

Variantní by bylo, že by útočník nějak získal vaši ověřovací aplikaci – což by bylo možné tam, kde ji máte cloudovou. Případně se dostal do vašeho telefonu nebo přímo získal váš telefon. To první je složité na iPhone, méně složité na Androidu. To druhé je snadné, ztráta či krádež, ale musel by to být nezabezpečený telefon a to snad dnes nikdo neriskuje.

Ještě pokročilejší variantou by bylo obnovení telefonu ze záloh u Apple/Google. Ale to už víceméně předpokládá hack vašeho Apple/Google účtu a jste tak jako tak v háji. A snadné to rozhodně není.

Přihlášení přes Google či Apple je také možné riziko za předpokladu, že by někdo získal přístup k vašemu účtu. A Twitter to, pokud vím, stále podporuje. 

Ověření (dvoufaktor) přes SMS už bylo mimochodem zrušeno, právě proto, že není bezpečné. 

Teoretické ztížení resetu hesla

V Nastavení -> Bezpečnost účtu je navíc možné zvolit Additional password Protection spočívající v (teoretickém) ztížení resetu hesla.

Je důležité to mít aktivní, protože tohle je jedna z cest jak získat váš účet – resetnout heslo – reset hesla pak bude možný jen zadáním e-mailu a/nebo telefonního čísla – což sice hacker může znát a může být schopen zadat. Ale jen pak dorazí odkaz/postup pro reset hesla, právě na e-mail nebo telefon. Což ale také znamená, že pokud někdo má přístup k vašem e-mailu nebo do vašeho telefonu, tak máte smůlu.

TIP: Co dělat pokud mi někdo hacknul Twitter a objevují se na něm věci co jsem nenapsal/a? je tak trochu dřívější (a mírně jiná) podoba tohoto tipu. Řeši totiž i jak se bezpečně chovat. 

Krádeže session (cookies)

Ukradení session v prohlížeči kdy hacker získá “přihlášený stav” a může se dostat na účet. Komplikované hlavně tím, že se musí dostat do vašeho telefonu či počítače, ale ve spojení s rozšířením pro prohlížeč a viry/malware jako takovými to až tak neschůdné není. 

Variantní MITM nebo rozlousknutí https je také poněkud komplikované, ale kdo ví. Třeba takové veřejné Wi-Fi a nepoužívání VPN.

Klonování/výměna SIM karty

SIM cloning/wapping je hodně častá cesta v USA, ale v Česku je to s otazníky – útočník musí totiž přesvědčit operátora (nebo mít někoho u operátora) aby došlo k vystavení nové SIM s původním telefonním číslem. Není to až tak technicky složité, protože jde v zásadě o postup při ztrátě/zablokování SIM. 

Právě SIM swapping mimochodem vedl k hacku účtu SEC v lednu 2024. Jenže SEC několik měsíců před hackem zakázal dvoufaktorové ověření, následně útočník získal telefonní číslo a využil reset hesla právě přes telefonní číslo. 

Další možnosti

Aplikace, kterým dáte přístup k účtu jsou polovičatá hrozba. Nemohou vás připravit o účet, ale můžete jim dát práva k tomu aby na něm dělaly nepořádek. Podobná je delegace účtů (a mechanismus “sdílení” přístupu k účtu s dalšími lidmi v TweetDecku).

Je tu stále jedna možnost, tedy že Twitter má nějakou bezpečnostní chybu, kterou útočníci vědí jak využít a ta umožňuje získat přístup k účtům. Není to, popravdě, nic až tak nemožné, v minulosti se to stalo opakovaně (a nejenom u Twitteru). 

Variantou předchozí pak je to, že někdo získá přístup k interním systémům Twitteru, třeba přes útok na zaměstnance, takže se dostane k “super správcovství” a může si dělat co chce. Opět něco co už tady bylo, třeba v roce 2020 kdy došlo k sérií hacknutí řady prominentních účtů (včetně například Billa Gatese či Joe Bidena).

Na tom všem výše popsaném je největší problém, že Twitteru nemá žádnou podporu uživatelů, nelze ho kontaktovat a nefunguje to ani když máte placený účet. Před Muskem tohle docela fungovalo, ale poté co Musk vyházel 80 % zaměstnanců nefunguje nic. Twitter (tedy teď už X) vůbec hacknuté účty nezajímají, neřeší ani to že škodi, okrádají, šíří viry, malware, atd. Absolutní nezájem.

Další tipy týkající se Twitteru/X

Bezpečnost Hack Soukromí Twitter