'द ग्रेट ट्विटर हैक' और कैसे ये कर दिखाया गया?

• अज्ञात साइबर अपराधियों ने हरकत को अंजाम दिया
• अंदरूनी सिस्टम्स के साथ छेड़छाड़ की गई: ट्विटर

स्कैमर्स ने दुनिया भर के प्रमुख ट्विटर हैंडल्स को इस हफ्ते हाईजैक कर सकते में डाल दिया. बुधवार को क्रिप्टोकरेंसी की लूट के लिए अज्ञात साइबर अपराधियों ने इस हरकत को अंजाम दिया. उन्होंने फॉलोअर्स को बिटकॉइन्स को एक विशिष्ट वॉलेट में ट्रांसफर कर बदले में दोगुनी रकम लेने का लालच दिया. इस तरह का घोटाला नया नहीं है लेकिन फिर भी कुछ हद तक स्कैमर्स अपने मंसूबे में कामयाब रहे.

जिनके ट्विटर अकाउंट्स से छेड़छाड़ की गई, उनमें उबर, एप्पल, एलन मस्क, बराक ओबामा, कान्ये वेस्ट और जो बिडन शामिल थे.

ट्विटर को कैसे हैक किया गया?

ट्विटर ने अपने सपोर्ट हैंडल पर ट्वीट्स की एक सीरीज में यह खुलासा किया कि उसके अंदरूनी सिस्टम्स के साथ छेड़छाड़ की गई. इसका अर्थ है कि यह ट्विटर पर हमला था और व्यक्तिगत खातों पर नहीं.

स्कैमर्स के पास किसी भी दिए गए खाते तक पहुंच थी, लेकिन उन्होंने फटाफट रुपये बनाने के लिए सबसे लोकप्रिय लोगों को चुना. यह, हालांकि, गोपनीयता और सुरक्षा का एक गंभीर उल्लंघन है.

ट्विटर के बयान से संकेत मिलता है कि उसके कुछ कर्मचारियों को या चकमा दिया गया या उन्होंने खुद ही गड़बड़ की.

कंपनी ने कहा, "हमने पाया और जो हम समझते हैं कि ये एक समन्वित सोशल इंजीनियरिंग हमला ऐसे लोगों की ओर से किया गया जिन्होंने हमारे कुछ कर्मचारियों को सफलता के साथ टारगेट किया जिनकी पहुंच अदरूनी सिस्टम्स और उपकरणों तक थी."

चूंकि पूरा नाटक घंटों तक चला, एक ऑनलाइन पत्रिका और टेक्नोलॉजी और विज्ञान को समर्पित वीडियो चैनल मदरबोर्ड ने इस हैंकिंग को लेकर कुछ अहम सुराग हासिल होने का दावा किया है.

मदरबोर्ड ने इंटरनल ट्विटर यूजर एडमिनिस्ट्रेशन टूल के स्क्रीनशॉट्स हासिल किए हैं जो हैकर्स ने विभिन्न वैरीफाइड अकाउंट्स में हेरफेर करने के लिए इस्तेमाल किए हो सकते हैं.

एक बार जब हैकर्स की उन हैंडल्स तक पहुंच हो गई तो उन्होंने सबसे पहला काम अकांउट्स से जुड़े ईमेल पते बदलने का किया. इससे टारगेट यूजर्स के लिए अकाउंट पर दोबारा कंट्रोल पाना मुश्किल हो गया.

स्क्रीनशॉट्स एक यूजर के अकाउंट के बारे में विवरण दिखाते हैं, जैसे कि इसे निलंबित कर दिया गया है, स्थायी रूप से निलंबित है, या प्रोटेक्टेड स्टेट्स है.

इसका अर्थ यह भी है कि चाहे यूजर्स 2FA (2 फैक्टर्स आथोराइजेशन) सक्षम हो या न हो, फिर भी उनके अकाउंट्स से समझौता किया गया.

इस प्रकरण के कुछ घंटों बाद, ट्विटर ने सभी वैरीफाइड हैंडल्स को अपने नियंत्रण में ले लिया और भेजे गए घोटाले के ट्वीट्स को हटाने में कामयाब रहा.

क्रिप्टोकरेंसी स्कैमर्स ने ऐसा कैसे किया?

क्रिप्टोकरेंसी और ब्लॉकचैन की दुनिया विकेंद्रीकृत है. इस घटना का मुख्य पहलू यह है कि दुनिया भर के लोगों को यह नहीं पता था कि घोटालेबाज कौन थे? घोटाले से जुड़े अधिकतर ट्वीट्स में जिस प्राथमिक बिटकॉइन पते, या खाते का उल्लेख किया गया वो, "bc1 ... 0wlh" है. ब्लॉकचेन की प्रकृति ने इस पते से जुड़े लेनदेन को रीयल टाइम देखने की अनुमति दी है, लेकिन इसके मालिक का नहीं पता लग सकता.

जैसे ही तिजोरी भरीं, इन्हें अन्य खातों में ट्रांसफर कर दिया गया जो संभवतः बिटकॉइन को डॉलर की नकदी में बदलने के लिए इस्तेमाल किए गए, जिसे फिएट करेंसी कहा जाता है. इन अकाउंट्स की ताजा स्थिति के अनुसार, 12 से अधिक बिटकॉइन प्राप्त हुए और संबंधित अन्य खातों में ट्रांसफरकर दिए गए. फिएट करेंसी में, यह 116,000 अमेरिकी डॉलर से अधिक है. इस खाते से लगभग 376 लेनदेन जुड़े हैं.

इसके बाहर, हैकर्स ने आसानी से झांसे में आने वालों से छोटे अकाउंट्स से इन मेन अकाउंट्स में फंड चैनेलाइज करने भी खेल खेला और प्रवाह को मैनेज किया. (ये छोटे अकाउंट्स संभवत: खुद स्कैमर्स से जुड़े थे)

इन 376 विषम लेन-देन में से सबसे बड़े को एक ऐसे वॉलेट से जुड़ा पाया गया जो मुख्य रूप से जापानी क्रिप्टो एक्सचेंजों में लेनदेन करता है. ये लेनदेन 40,000 डॉलर का था.

अन्य आने वाले लेनदेन दुनिया भर के एक्सचेंजों से जुड़े थे.

ट्विटर यूजर्स कैसे प्रभावित हुए?

एक बार जब ट्विटर को इस मुद्दे की भयावहता का एहसास हुआ, तो उसने तुरंत दुनिया भर में वैरीफाइड ट्विटर अकाउंट्स (लगभग 359,000) की क्रियाशीलता को सीमित करना शुरू कर दिया.

इसने उन अकाउंट्स को भी बंद कर दिया जिनका घोटालेबाजों द्वारा दुरुपयोग किया जा रहा था और घोटाले को प्रमोट करने वाले ट्वीट्स को भी हटा दिया गया.

ट्विटर ने कुछ समय के लिए वैरीफाइड हैंडल्स की ट्वीट गतिविधियों को निलंबित करने का अभूतपूर्व कदम भी उठाया.

हैकिंग और इसके राजनीतिक निहितार्थ

हालांकि ट्विटर ने अपने अस्तित्व में आने के बाद से अब तक के सबसे बड़े सिक्योरिटी हैक का सामाना किया है, लेकिन यह निश्चित रूप से पहला ऐसा मामला नहीं है.

2017 में, एक ट्विटर कर्मचारी ने राष्ट्रपति डोनाल्ड ट्रम्प के हैंडल को थोड़ी देर को हटाने के लिए इंटरनल कंट्रोल्स का इस्तेमाल किया. जब यह उल्लंघन सामने आया, तो अकाउंट को जल्दी से बहाल कर दिया गया.

इस हफ्ते की शुरुआत में, लंदन में किंग्स कॉलेज “Escalation by Tweet: Managing the new nuclear diplomacy” रिपोर्ट के साथ सामने आया. रिपोर्ट में सोशल मीडिया पर कम्युनिकेशंस के निगेटिव असर और विभिन्न देशों के नेताओं के बीच बातचीत के बारे में बताया गया है.

यह अभी तक स्पष्ट नहीं है कि हैकर्स के नियंत्रण में रहते हुए इन वैरीफाइड हैंडल्स से कितने संवेदनशील प्रत्यक्ष संदेश लीक किए गए.

यह आगे कुछ और भयावह किए जाने की ड्रेस रिहर्सल हो सकता था. सोशल-मीडिया कंपनियों को अपने यूजर्स, निवेशकों और सरकारों का विश्वास हासिल करने के लिए बहुत कुछ किए जाने की जरूरत हो सकती है.

(लेखक सिंगापुर स्थित एक ओपन-सोर्स इंटेलिजेंस एनालिस्ट हैं)