הגולשים שנכנסו לטוויטר ביום שישי ה-7 למרץ בשתיים בלילה גילו שחשבון הטוויטר של השר נפתלי בנט, שבשגרה מפרסם ציוציים כחלק מתפקידו כיו"ר מפלגת ימינה וכשר הבטחון, נפרץ והוא מצייץ מסרים פרו טורקיים ופרו פלסטיניים.
מייד כשראיתי את העניין העברתי דיווח לטוויטר ותוך מספר דקות הציוצים נמחקו. או שטוויטר התערבו, או שאחד מאנשי צוותו של בנט, שמכהן כשר בטחון, התערב.
חטיפת חשבון טוויטר היא דבר מאוד נפוץ שבדרך כלל נעשה למטרות כספיות אך גם למטרות פוליטיות. כשחוטפים חשבון אין נזק מיידי, אבל הוא מצביע על פרקטיקה בעייתית שעלולה להדאיג כשמדובר בשר הבטחון של ישראל. חשבונות נחטפים כל הזמן, אבל בעוד שלא ייגרם נזק או מבוכה גדולה מ"סתם" חשבון שייחטף (כמו החשבון שלי) – חשבון של אישיות רמת דרג שנחטף מצביע על בעיה בהתנהלות הדיגיטלית שלה ובאבטחה סביבה.
על מנת להבין את המחדל במלואו, צריך לדעת שיש כמה דרכים לחטוף חשבון טוויטר – או באמצעות גילוי הסיסמה, או באמצעות חדירה לטלפון הנייד/מחשב.
חטיפה באמצעות גילוי הסיסמה
גילוי הסיסמה יכול להעשות באמצעות קמפיין פישינג ממוקד – כלומר משלוח מייל מתחזה שישכנע את הקורבן להכניס את הסיסמה שלו ולשלוח אותו לתוקף. למשל מייל "עדכון" שנשלח כביכול מטוויטר ושולח את הקורבן להקליד את הסיסמה באתר "tw1tter.com" או משהו בסגנון.
ניתן לגלות את הסיסמה באמצעות מאגר מידע אחר שדלף. לא מעט מהאנשים נוטים לשכפל ססמאות או להשתמש בתבנית קבועה עבור ססמאות. מאגרי מידע עם ססמאות דולפים כל הזמן ותוקפים מנסים להשתמש בססמאות המופיעות בהן, לצד שם המשתמש/מייל בשירותים שונים כמו ג'ימייל, פייסבוק וטוויטר. סביר להניח שמאגר מידע עם ססמאות דלף גם אצלכם. אתם יכולים לבדוק אם המייל שלכם מופיע במאגרי מידע שנפרצו ופורסמו באמצעות האתר https://haveibeenpwned.com
מניעת גילוי הסיסמה
קל מאוד למנוע חטיפה כזו באמצעות שתי דרכים עיקריות. ראשית, להשתמש במנהל ססמאות שמייצר סיסמה רנדומלית עבור כל אתר.
שנית, להשתמש באימות דו שלבי, מבוסס אפליקציה, על מת להתחבר לשירות. באימות דו שלבי, נדרשת הזנה של סיסמה נוספת, חד פעמית, המיוצרת במכשיר הסלולרי באפליקציה מיוחדת (כמו גוגל אותנטיקייטור) כך גם אם תוקף מצליח לגלות את הסיסמה, הוא לא יצליח להתחבר לשירות.
שתי הדרכים האלו קריטיות במיוחד במקרים של אנשים שיש להם פרופיל ציבורי גבוה או נכסים דיגיטליים משמעותיים. יש לכם פרופיל אינסטגרם עם שלל עוקבים? אתם אישיות ציבורית בכירה? מנהלים עמוד פייסבוק חשוב? עשו את זה עוד היום.
חטיפה באמצעות חדירה לטלפון הנייד או המחשב
ניתן לחטוף את החשבון באמצעות החדרת קוד זדוני למכשיר של הקורבן ושאיבת הסיסמה, הסשן או אפילו תפעול האפליקציה ישירות מהמכשיר. מקרים אלו מצריכים תחכום יוצא דופן ונדיר שתוקפים מפעילים אותם נגד אנשים מהשורה.. אם אתם אישיות בטחונית מאוימת, סביר להניח שתצטרכו להשתמש בטלפון מוקשח ותקבלו הנחיות מגורמי הבטחון. אם אתם אישיות עסקית בכירה, סביר להניח שתקבלו הנחיות מגורמי האבטחה בחברה.
גניבת חשבון באמצעות פריצה לטוויטר עצמה
זה אפשרי כמובן, אבל זו אפשרות איזוטרית. אם יש חולשה בטוויטר עצמה, אז תוקפים יתמקדו בפרופילים יותר מעניינים כמו הפרופיל של דונאלד טראמפ למשל.
מה קרה שם? האם יש נזק לבטחון המדינה?
חטיפת חשבון טוויטר לא מהווה סכנה בטחונית מלבד מבוכה.
אבל עדיין זה מצביע על בעיה. או ששר הבטחון לא קיבל תדרוך מספק ומתנהל ברשת באופן דיגיטלי לא הגייני – כלומר ממחזר ססמאות ולא מפעיל אימות דו שלבי. שזה בעייתי אבל לא נורא. (כן יש צורך בבדיקה והנחיה של הגורמים הרלוונטיים).
אפשרות נוספת, שסבירה הרבה פחות, היא שגורמים זדוניים חדרו לטלפון של שר הבטחון. זה סביר פחות כי אז סביר להניח שהם היו עושים דברים יותר מעניינים מלכתוב כמה סטטוסים פרו פלסטיניים. אפילו שעידו קינן מצביע על דברים מעניינים שאפשר לעשות ומזלנו שהפורצים לא עשו:
עיתוי ההתקפה מראה לדעתי שלא היתה כאן התקפת פישינג אלא מחזור סיסמה או תבנית של סיסמה והצלחה ממוזלת של התוקפים. הלקח כאן הוא פשוט: אימות דו שלבי ומנהל ססמאות. לא רק לשר הבטחון אלא לכולכם 🙂
ראוי לציין, כפי שעידו קינן כותב, שזו לא הפעם הראשונה שזה קרה: