In het geval dat 2020 niet dystopisch genoeg was, kaapten hackers op 15 juli de Twitter-accounts van onder meer voormalig president Barack Obama, presidentiële hoopvolle Joe Biden, Elon Musk, Jeff Bezos, Kim Kardashian en Apple. Elk gekaapt account heeft een soortgelijk nepbericht geplaatst. Het spraakmakende individu of bedrijf wilde filantropisch iets teruggeven aan de gemeenschap tijdens COVID-19 en zou alle donaties aan een bitcoin-portemonnee verdubbelen, zeiden identieke berichten. De donaties volgden .
De hack aan de oppervlakte lijkt misschien een doorsnee financiële zwendel. Maar de schending heeft huiveringwekkende gevolgen voor de democratie.
Ernstige politieke implicaties
Als onderzoeker van internetbeheer en -infrastructuur zie ik de onderliggende cybercriminaliteit van dit incident, zoals het hacken van accounts en financiële fraude, veel minder zorgwekkend dan de maatschappelijke politieke implicaties. Sociale media – en met name Twitter – zijn nu de publieke sfeer. Met een gekaapt account zou het eenvoudig zijn om economische schade aan te richten, een nationale veiligheidscrisis te veroorzaken of een sociale paniek te zaaien.
Sta eens stil bij enkele van de potentiële bedreigingen voor de samenleving als gevolg van de overname van technologie-infrastructuur.
- Marktstabiliteit. Gecoördineerde frauduleuze tweets van de accounts van Apple, Facebook, Google, Netflix en Microsoft kunnen de aandelenmarkt gemakkelijk doen crashen, althans tijdelijk, waardoor het vertrouwen in de markten wordt uitgehold.
- Maatschappelijke paniek. Een valse waarschuwing over een dreigende terroristische aanslag van een groot mediabedrijfsaccount kan een gevaarlijke openbare paniek veroorzaken.
- Nationale veiligheid. Twitter is het favoriete platform van president Donald Trump. Een buitenlandse tegenstander die zijn account kapt en een nucleaire aanval op Noord-Korea aankondigt, kan catastrofaal zijn.
- Democratie. Gekaapte accounts kunnen goed getimede politieke desinformatie zaaien die de presidentsverkiezingen van 2020 slingert of probeert te delegitimeren.
Als zodanig gaat het niet om financiële criminaliteit. Het is een serieuze bedreiging voor ons allemaal.
Politici roepen terecht op tot hoorzittingen en onderzoeken. Het lid van de House Committee on Oversight and Reform, Kentucky Republikein James Comer, heeft een brief gestuurd waarin hij veeleisende antwoorden van Twitter- CEO Jack Dorsey eist over wat er is gebeurd. De gouverneur van New York, Andrew Cuomo, gaf opdracht tot een volledig onderzoek naar de hack , waarbij hij waarschuwde dat “buitenlandse inmenging een ernstige bedreiging blijft voor onze democratie”.
De FBI onderzoekt het incident.
Social engineering
Op de dag van de aanval tweette Dorsey : ‘Moeilijke dag voor ons op Twitter. We voelen ons allemaal verschrikkelijk dat dit is gebeurd. ‘ Maar wat is er gebeurd ?
Tough day for us at Twitter. We all feel terrible this happened.
We’re diagnosing and will share everything we can when we have a more complete understanding of exactly what happened.
💙 to our teammates working hard to make this right.
— jack (@jack) July 16, 2020
Twitter onthulde dat ongeveer 130 accounts waren getroffen en dat “aanvallers de controle over de accounts konden krijgen en vervolgens tweets vanaf die accounts konden verzenden”. De getroffen accounts leken ‘geverifieerde accounts’ te zijn, met een blauw vinkje bedoeld om de identiteit van spraakmakende openbare figuren te verifiëren.
Omdat deze accounts potentiële hackdoelen zijn, raadt Twitter extra beveiliging aan , zoals het hebben van een tweede inlogverificatiecontrole en het vereisen van persoonlijke informatie, zoals een telefoonnummer, om een wachtwoord opnieuw in te stellen.
Hoe zijn de rekeningen overgenomen? Er zijn twee algemene mogelijkheden: ofwel hebben hackers de inloggegevens, inclusief wachtwoorden, verkregen of hebben ze toegang gekregen tot systemen van binnen het bedrijf. Twitter heeft de aanval op het moment van schrijven beschreven als ‘met succes toegang hebben tot sommige van onze medewerkers met toegang tot interne systemen en tools’. Met andere woorden, het kan zijn ontstaan binnen het beveiligde systeem van Twitter.
Maar deze uitleg roept meer vragen op. Kunnen Twitter-medewerkers (of hackers) met ongeoorloofde toegang tot “interne systemen” daadwerkelijk tweeten vanaf het account van iemand als Joe Biden? Een andere grote vraag is of de hackers ook in elk van deze accounts de privéberichten konden lezen .
Om het vertrouwen terug te winnen, moet Twitter duidelijk maken wat er is gebeurd en uitleggen wat het bedrijf zal doen om een dergelijke aanval in de toekomst te beperken.
In termen van de gebruikte tactieken beschreef Twitter het incident als social engineering, een term die verwijst naar een cyberaanval die menselijk handelen misbruikt. Voorbeelden zijn phishingaanvallen die iemand ertoe aanzetten op een kwaadaardige link in een e-mail te klikken of een wachtwoord of persoonlijke informatie vrij te geven. Deze technieken dateren van tientallen jaren, zoals de beruchte I Love You-aanval van 2000 , toen e-mails met de onderwerpregel “I Love You” mensen ertoe aanzetten om een met virus geïnfecteerd bestand te downloaden, wat enorme economische schade voor bedrijven veroorzaakte. Het kan een reeks activiteiten zijn die erop gericht zijn mensen te misleiden om informatie te verstrekken die nuttig is voor een andere partij, zoals een hacker die probeert het netwerk van een bedrijf binnen te dringen.
Het essentiële kenmerk van een social engineering-aanval is dat een mens wordt gevraagd een beoordelingsfout te maken. Als iemand ooit heeft gedacht dat een persoon geen instantie heeft op het gebied van cyberbeveiliging, denk dan aan het e- mailinbreuk van de Democratische Nationale Commissie vóór de Amerikaanse presidentsverkiezingen van 2016. Dat incident is gedeeltelijk ontstaan door een phishing-aanval die iemand ertoe heeft verleid e-mailgegevens vrij te geven . Cybersecurity is een probleem van de menselijke psychologie en cyberliteracy en een complex technisch gebied. Niet alleen lijken Twitter-werknemers het slachtoffer te zijn van social engineering, volgens de eerste uitleg, maar dat gold ook voor die mensen die werden misleid tot het geven van bitcoin-donaties.
Niet alleen een technisch bedrijfsprobleem
Cyberbeveiliging is de grote mensenrechtenkwestie van onze tijd, simpelweg omdat de veiligheid van alles in onze samenleving – van verkiezingen tot gezondheidszorg tot economie – afhankelijk is van de veiligheid van de digitale wereld. Particuliere bedrijven bemiddelen nu in de publieke sfeer en dragen daarom een grote verantwoordelijkheid voor deze beveiliging. Van het Facebook Cambridge Analytica-schandaal tot het Yahoo! datalek , hebben techbedrijven vertrouwensproblemen gehad. Tegelijkertijd legt de COVID-19-pandemie bloot hoezeer we de digitale wereld nodig hebben en dat cyberveiligheid goed moet zijn.
De onthulling dat de Twitter-hack is ontstaan via een social engineering-techniek herinnert eraan dat cyberbeveiliging zowel een individuele menselijke verantwoordelijkheid is als een technische of institutionele verantwoordelijkheid. We zijn allemaal verantwoordelijk . Twitter was oorspronkelijk niet ontworpen om zo politiek relevant te zijn. Nu weten we allemaal dat het zo is. Daarom is deze laatste aanval zo ernstig.