Como Hackearon perfiles de Twitter de personajes públicos para dar a conocer un fallo
La empresa de ciberseguridad Insinia Security ha logrado secuestrar varias cuentas de usuarios de Twitter con perfiles verificados o de celebridades para llamar la atención sobre un problema de seguridad que plantea la red social con la vinculación del número de teléfono a la hora de publicar en ella.
Los perfiles de los periodista Eamonn Holmes y Louis Theroux, el escritor Simon Calder y la presentadora de televisión Saira Khan, entre otros, han mostrado este jueves un mismo mensaje: “Esta cuenta ha sido temporalmente hackeada por Insinia Security”.
Con esta acción, la compañía ha querido mostrar un problema presente en la red social Twitter relacionada con la vinculación del número de teléfono en la cuenta, ya que permite que cualquiera pueda tomar el control de la misma y publicar en ella.
La vinculación del número de teléfono con la cuenta de Twitter tiene un motivo de seguridad, ya que forma parte del sistema de autenticación en dos factores. Por ello, la compañía de ciberseguridad recomienda a Twitter separar la medida de seguridad de la posibilidad de ‘tuitear’ desde el número del teléfono.
Preocupan los usos maliciosos de este problema de seguridad, si, por ejemplo, gobiernos, grupos criminales o hackers consiguen los números de determinadas personas. Y Alertan sobre el daño que puede causar al prestigio y la reputación de personas y entidades, así como de la difusión de noticias falsas y desinformación, o incluso de la propagación de ‘malware’.
Aquí está cómo lo hicieron:
Contenido parcialmente protegido solo para miembros WISER ELITE, consigue tu membresía aquí
[ms-protect-content id=”503″]
1.- Insinia entendía la manera en la que twitter manejaba los mensajes de texto entrantes de un número telefónico. Entonces ellos descubrieron que si podían enviar un mensaje haciéndose pasar por el emisor original con sms spoofing entonces podían tener control total sobre una cuenta de twitter.
2.- Ahora necesitaban los números de teléfono, y eso fue sorprendentemente fácil.
3.- Realizaron spoofing a esos números de twitter siguiendo esta guía: https://help.twitter.com/en/using-twitter/sms-commands
4.- Siguieron el método para tener acceso a cuentas de twitter, permitiéndoles enviar tweets, hacer retweet , seguir , dejar de seguir a usuarios y muchas cosas más.
[/ms-protect-content]