این نوشته یک ترجمه کوتاه از این نوشته می باشد.
احتمالا شما هم خبرهای هک توییتر و سوء استفاده از اکانتهای افراد مشهور شنیدید و اخیرا هم که مشخص شد هک توسط سه فرد به نام های Mason Sheppard معروف به Chaewon که 19 ساله از Bognor Regis انگلستان و نیما فاضلی معروف به Rolex که 22 ساله و Graham Ivan Clark معروف به Kirk که 17 ساله (تمپا) و هر دو از فلوریدا بودند، انجام شده بود.
با توجه به اسنادی که منتشر شده هک از 3 می 2020 (یکشنبه 14 اردیبهشت 99) با دسترسی کلارک به بخشی از شبکه توییتر آغاز شده است .
از تاریخ 3 می تا روز 15 جولای (روز واقعی هک توییتر) ( چهارشنبه 25 تیر 1399 ) مشخص نیست که چه اتفاقاتی رخ داده است اما چیزی که مشخص است اینست که کلارک پس از ورود به سیستم دسترسی اکانت ادمین را برای گرفتن اکانت های دیگران را نداشته است.
البته روزنامه نیویورک تایمز در مقاله ای پس از هک توییتر نوشته بود که کلارک در ابتدا بصورت مستقیم به توییتر دسترسی نداشته و در ابتدا دسترسی به Slack داخلی توییتر داشته است .نیویورک تایمز در گزارشی عنوان کرده بود که هکر به یکی از ابزارهای آموزشی که در کانال Slack توییتر پین شده بود دسترسی داشته است .
تصاویر این ابزار که کارمندان توییتر برای کنترل یک اکانت از آن استفاده میکردند روز بعد از هک منتشر شده بود .
البته توییتر در یک پست اشاره کرده بود که این ابزار با 2FA (احراز هویت دو مرحله ای) محافظت می شده و تنها دسترسی به آن برای ورود کافی نبوده است .
طبق گفته محققاق توییتر کلارک با استفاده از فیشنگ تلفنی روی برخی کارمندان توییتر اقدام به دسترسی به اکانت آنها نموده و احراز هویت دو مرحله ای را دور زده است .
طبق اعلام خود توییتر این اقدام در همان روز هک 15 جولای رخ داده است .
کلارک که انتظار نداشته شناسایی بشه با نام کاربری Kirk#5270 در Discord فعالیت داشته که طبق گفتگوهایی که FBI از Discord بدست آورده مشخص شده که با 2 نفر دیگه برای عملی کردن هک توییتر ارتباط داشته .
طبق لاگ های بدست آمده از Discord ، کلارک در کانال Discord سایت OGUsers که یک سایت برای خرید و فروش اکانتهای شبکه های اجتماعی بوده با این دو نفر در ارتباط بوده است .
در لاگهای چت بدست آمده ،کلارک با این دو نفر ( فاضلی با نام کاربری Rolex#037 و Sheppard با نام کاربری ever so anxious#0001 در ارتباط بوده و اعلام کرده در توییتر کار میکند و برای اثبات این ادعاش حساب توییتر فاضلی رو تغییراتی میده و دسترسی به اکانت توییتر @foreign رو می فروشه.
کلارک همچنین دسترسی Sheppard به چندین اکانت توییتر @xx, @dark, @vampire, @obinna, @drug را فراهم میکند .
پس از اینکه کلارک توانایی خود را در دسترسی به اکانتهای توییتر اثبات میکند ، از این دو فرد می خواهد که خودش را در OGUsers برای دسترسی به اکانتهای توییتر تبلیغ کنند .
با توجه به این تبلیغات انجام شده به نظر چندین نفر اقدام به خرید دسترسی به برخی حساب های توییتر را داشته اند .
با توجه به گفته Executive Office for United States Attorneys به نظر میرسد در این هک چندین نفر دیگر نیز شرکت کرده اند و با خرید دسترسی به اکانتهای توییتر افراد مشهور اقدام به ارسال پیام کلاهبرداری رمزارز در 15 جولای کرده اند.در این پیام ، در حساب های متعلق به باراک اوباما ، جو بایدن ، بیل گیتس ، الون موسک ، جف بزوس ، اپل ، Uber ، کانی وست ، کیم کارداشیان ، فلوید مایواتر ، مایکل بلومبرگ و دیگران ، از کاربران خواسته شد بیت کوین را به چندین آدرس مختلف ارسال کنند.
طبق اسناد دادگاه این هکرها موفق به دریافت 12.83 بیت کوین به ارزش 117000 دلار شده اند. البته صرافی coinbase برای جلوگیری از ارسال بیت کوین مانع ارسال 280000 دلار دیگر به آدرس های مذکور شده است .
پس از این مرحله بود که دسترسی کلارک برای همه آشکار شد. طبق گفته های توییتر کلارک با 130 اکانت در ارتباط بوده برای 45 مورد پسورد ریکاوری کرده و برای 36 مورد دسترسی به پیام های خصوصی داشته است .
روز بعد از هک ،توییتر اقدام به شکایت رسمی کرده و Fbi و سرویس های مخفی تحقیقات خود را شروع کرده اند.
در طول تحقیقات، FBI از لاگ های چت و اطلاعات کاربران در Discord و خبرهای منتشر شده در فضای مجازی استفاده کرده است .
از آنجاییکه برخی از تبلیغات هکرها در OGUsers ارسال شده بود ، FBI همچنین از نسخه ای از بانک اطلاعاتی انجمن OGUsers که در آوریل امسال بصورت آنلاین منتشر شد ، پس از هک شدن فروم ، استفاده کرد. این بانک اطلاعاتی حاوی جزئیات مربوط به کاربران ثبت نام شده در انجمن ، از جمله ایمیل و آدرس های IP و همچنین پیام های خصوصی است.
مقامات با کمک IRS داده هایی از Coinbase را در مورد آدرس های بیت کوین مورد استفاده در هک ها ، و آدرس هایی که در گذشته توسط سه هکر در پست های گفتگوی Discord و OGUsers استفاده و ذکر شده بودند ، به دست آوردند.
با توجه به داده های این سه سایت، FBI توانست هویت هکرها را در سه سایت ردیابی کند و آنها را به آدرس های ایمیل و IP پیوند دهد.
به عنوان مثال ، پس از پیوند دادن نام کاربری Discord به صفحه OGUsers ، که یک خطای امنیتی عملیاتی (OpSec) است ،فاضلی را ردگیری کردند .
فاضلی در مخفی کردن هویت خود مرتکب چندین اشتباه دیگر نیز شد. برای مثال، وی از آدرس damniamevil20@gmail.com استفاده کرد تا یک حساب کاربری در انجمن OGUsers را ثبت بکند و از آدرس ایمیل chancelittle10@gmail.com برای استفاده از حساب توییتر@foreign استفاده کرده بود.
او همچنین برای ثبت حساب های Coinbase از همان دو آدرس ایمیل استفاده کرد که بعداً با عکسی از گواهینامه رانندگی خود تأیید کرده بود.
علاوه بر این ، فاضلی از اتصال اینترنت خانه خود برای دسترسی به حسابها در این سه سایت استفاده کرده و آدرس IP خانه خود را در لاگهای اتصال در هر سه سرویس - Discord ، Coinbase و OGUsers قرار داده است.
همین اتفاق برای Sheppard نیز رخ داده است.وی با نام کاربری Chaewon در OGUsers عضو شده است. محققان گفتند که به لطف تبلیغاتی که او در روز هک در سایت منتشر کرده است ، می توانند نام کاربری Discord او را با شخصی که در OGUsers است ارتباط دهند ، و همچنین تأیید کردند که از طریق بانک اطلاعاتی به بیرون درز شده OGUsers ، دریافته اند که Chaewon در حال خرید یک بازی ویدیویی با یک آدرس بیت کوین بوده است که به آدرس های استفاده شده در روز هک توییتر مرتبط است.
همانند فاضلی ، Sheppard نیز از تصویر گواهینامه رانندگی خود برای تایید حسابهای coinbase خود استفاده کرده است .
محققان هنوز بطور مستقیم کلارک را به اکانت Kirk#5270 مرتبط نکرده اند اما شواهد و قرائن حاکی از اینست که کلارک صاحب این اکانت Discord می باشد .
اولاً ، اندرو وارن ، دادستان ایالتی هیلزبورو ادعا كرد كه نوجوان 17 ساله تمپا (كلارك) كه امروز دستگیر شد، "مغز متفكر" كل هك بود - نقشی كه Kirk#5270 در کل این طرح بازی کرد.
دوماَ، در بیانیه Northern District of California ، مقامات گفتند که آنها هکر نوجوان سومی را به وکیل دادگستری منطقه 13 قضایی (شهرستان هیلزبورو) در تمپا فلوریدا ارجاع دادند.
همین دفتر فلوریدا نام واقعی وی را به عنوان گراهام ایوان کلارک فاش کرد.
