El fiscal estatal de Hillsborough, Andrew Warren, anunció hoy que ha presentado 30 cargos por delitos graves contra un residente de 17 años de Tampa, Florida, quien fue descrito por la oficina de Warren como “el autor intelectual del reciente hackeo de Twitter”.
El hackeo en cuestión ocurrió a principios de este mes e involucró a usuarios de Twitter de alto perfil como Apple, Elon Musk, Joe Biden y Barack Obama, cuyas cuentas publicaron mensajes promocionando una billetera de Bitcoin y afirmando: “Todos los Bitcoin enviados a la dirección a continuación serán enviados espalda doblada!”
El adolescente (no lo identificamos porque es menor de edad) supuestamente ganó más de $100,000 a través de esta estafa de criptomonedas.
La oficina del fiscal estatal dijo que el adolescente fue arrestado hoy después de una investigación de la Oficina Federal de Investigaciones y el Departamento de Justicia de los Estados Unidos, y que será juzgado como adulto. Enfrentan cargos que incluyen un cargo de fraude organizado (más de $50,000) y 17 cargos de fraude de comunicaciones (más de $300).
“Estos crímenes fueron perpetrados usando los nombres de personas famosas y celebridades, pero no son las principales víctimas aquí”, dijo Warren en un comunicado. “Este ‘Bit-Con’ fue diseñado para robar dinero de los estadounidenses comunes de todo el país, incluso aquí en Florida. Este fraude masivo fue orquestado aquí mismo en nuestro patio trasero, y no lo toleraremos”.
Como informamos en ese momento, el hack utilizó la propia herramienta administrativa interna de Twitter para obtener acceso a cuentas de alto perfil. En un tuitLa compañía dijo: “Agradecemos las rápidas acciones de las fuerzas del orden público en esta investigación y continuaremos cooperando a medida que avanza el caso. Por nuestra parte, nos enfocamos en ser transparentes y brindar actualizaciones regularmente”.
Hoy temprano, Twitter actualizó su entrada en el blog esbozando lo que sabe sobre el ataque:
La ingeniería social que ocurrió el 15 de julio de 2020 se dirigió a un pequeño número de empleados a través de un ataque de phishing telefónico. Un ataque exitoso requería que los atacantes obtuvieran acceso tanto a nuestra red interna como a las credenciales específicas de los empleados que les otorgaron acceso a nuestras herramientas de soporte interno. No todos los empleados que fueron atacados inicialmente tenían permisos para usar herramientas de administración de cuentas, pero los atacantes usaron sus credenciales para acceder a nuestros sistemas internos y obtener información sobre nuestros procesos. Este conocimiento luego les permitió dirigirse a empleados adicionales que tenían acceso a nuestras herramientas de soporte de cuentas. Usando las credenciales de los empleados con acceso a estas herramientas, los atacantes se dirigieron a 130 cuentas de Twitter, finalmente twittearon desde 45, accedieron a la bandeja de entrada de DM de 36 y descargaron los datos de Twitter de 7.
Para evitar que un ataque similar tenga éxito en el futuro, Twitter dijo que “acelerará varios de nuestros flujos de trabajo de seguridad preexistentes y mejorará nuestras herramientas” y también mejorará los métodos que utiliza para detectar y detener el acceso inapropiado a sus sistemas internos.
Actualizar: en un anuncio Por su parte, el Departamento de Justicia en realidad acusó a tres personas por su supuesta participación en el hackeo, no solo el adolescente de Tampa, sino también Mason Sheppard, de 19 años, también conocido como “Chaewon”, del Reino Unido (acusado de conspiración). para cometer fraude electrónico, conspiración para cometer lavado de dinero y acceso intencional a una computadora protegida) y Nima Fazeli, alias “Rolex”, de Orlando, Florida, de 22 años (acusado de ayudar e instigar el acceso intencional a una computadora protegida ), quienes enfrentan cargos en el Distrito Norte de California.
“Existe la falsa creencia dentro de la comunidad de hackers criminales de que los ataques como el de Twitter se pueden perpetrar de forma anónima y sin consecuencias”, dijo el fiscal federal David L. Anderson en un comunicado. “El anuncio de carga de hoy demuestra que la euforia de la piratería infame en un entorno seguro por diversión o beneficio será de corta duración. La conducta delictiva en Internet puede parecer sigilosa para las personas que la cometen, pero no tiene nada de sigilosa. En particular, quiero decirles a los posibles delincuentes que violen la ley y los encontraremos”.