Хак Twitter від Грехема Івана Кларка $110K : Коли Підліток Перехитрив Найбільшу Соціальну Мережу Світу

Коли 15 липня 2020 року інтернет зупинився, ніхто не очікував, що винуватцем стане хтось настільки молодий, щоб лише отримати водійські права. Грем Іван Кларк не був тіньовою фігурою в підпільному хакерському синдикаті. Він був бідним підлітком із Тампи, Флорида — озброєним лише ноутбуком, телефоном і нахабством зламати одну з наймогутніших платформ світу. Що зробило його досягнення надзвичайним, — це не технічна майстерність. Це його володіння соціальною інженерією — мистецтвом маніпулювання людською природою.

Хто такий Грем Іван Кларк? Підліток, що стояв за найгіршою безпековою прорвою Twitter

Грем Іван Кларк виріс у складних умовах. Без стабільної сім’ї. Без грошей. Без легального шляху вперед. Поки більшість підлітків грали у відеоігри для розваги, він використовував їх для заробітку — заводив дружбу з гравцями, продавав внутрішньоігрові предмети, крадав платежі і зникав. Коли YouTube-блогери намагалися викрити його схеми, він відповідав зломом їхніх каналів.

До 15 років Кларк вже перейшов на форуми темної мережі, де крадені акаунти соцмереж продавалися як валюта. Він приєднався до OGUsers, відомої спільноти для трейдерів акаунтів і хакерів. Але Кларк не навчився кодуванню. Замість цього він навчився переконувати, тиснути і обманювати. Ці навички стали для нього набагато небезпечнішими за будь-яке програмування.

У 16 років Кларк відкрив для себе SIM swapping — техніку, коли він дзвонив представникам мобільних компаній, видавав себе за власника акаунта і переконував співробітників перенести номер на його пристрої. Ця одна техніка відкрила йому доступ до поштових акаунтів, криптовалютних гаманців і банківських рахунків. Його жертвами ставали багаті інвестори у криптовалюту, які публічно хвалилися своїми активами. Один венчурний капіталіст, Грег Беннетт, прокинувся і виявив, що у нього зникло понад мільйон доларів у Bitcoin. Коли він намагався зв’язатися з крадіями, відповідь була моторошною: погрози його родині.

Цей успіх підняв його самооцінку. Він почав шахраювати навіть своїх кримінальних партнерів. Вони відповіли, викривши його і з’явившись у його домі. Його офлайн-життя погіршувалося — зв’язки з бандами, залучення до наркотиків, зростаюча насильство. Коли одна з угод пішла не так, його друга застрелили. Кларк втік і пережив ще один серйозний інцидент, хоч і був у ньому замішаний.

Атака липня 2020 року: Як Грем Іван Кларк зламав 130 перевірених акаунтів

До 2019 року поліція обшукала квартиру Кларка і знайшла 400 Bitcoin — тоді майже на 4 мільйони доларів. Він уклав угоду, повернувши владі мільйон доларів. Оскільки він ще був неповнолітнім, він легально зберіг решту криптовалюти. Але у 17 років у нього були більші амбіції, ніж просто приховати крадені гроші. Він хотів довести щось неможливе: що він може проникнути до найбезпечнішої соцмережі світу.

Під час пандемії COVID-19 команда Twitter перейшла на віддалену роботу. Співробітники входили у систему з домашніх мереж, керували акаунтами з особистих пристроїв і дотримувалися протоколів безпеки, розроблених для офісів. Грем Іван Кларк і його спільник досліджували цю вразливість. Вони видавали себе за внутрішню технічну підтримку Twitter. Телефонували співробітникам, стверджуючи, що потрібно термінове скидання входу, і надсилали фальшиві корпоративні портали для входу. Десятки співробітників повірили обману.

Крок за кроком підлітки піднімали рівень доступу через внутрішні системи Twitter. Вони збирали облікові дані. Переміщувалися по мережах. Нарешті, вони виявили так званий “God mode” — майстер-адміністративну панель, здатну скинути паролі будь-якого користувача платформи. За кілька годин двоє підлітків отримали контроль над 130 найвпливовішими акаунтами світу.

Соціальна інженерія замість коду: чому зброєю Грема Івана Кларка була психологія

Що сталося далі, шокувало весь інтернет. 15 липня 2020 року о 20:00 з перевірених акаунтів з’явилися твіти від імені Ілона Маска, Барака Обами, Білла Гейтса, Apple, Uber і Джо Байдена. У кожному повідомленні було одне й те саме пропозиція:

“Надішліть мені 1000 доларів у Bitcoin, і я надішлю вам 2000 доларів назад.”

Інтернет завис. Зірки панікували. Спостерігачі за ринком затамували подих. За кілька хвилин у гаманці Кларка і його спільника надійшло понад 110 000 доларів у Bitcoin. Команда безпеки Twitter метушилася. За кілька годин платформа зробила безпрецедентний крок: вони заблокували всі перевірені акаунти у світі — такого ще не траплялося в історії компанії.

Хакери могли спричинити набагато більші збитки. Вони мали можливість зруйнувати ринки фальшивими оголошеннями, викривати приватні повідомлення світових лідерів, транслювати фальшиві повідомлення про війну або красти мільярди з фінансових систем. Замість цього вони просто зібрали криптовалюту. 110 000 доларів — це навіть не особливо велика сума, враховуючи масштаб їхнього доступу. Насправді, вони прагнули до влади — мати можливість керувати найбільшим у світі мегафоном і довести, що система зламана.

Від арешту до свободи: несподівано легкий вирок Грема Івана Кларка

ФБР відстежило Грема Івана Кларка всього за два тижні. IP-логи вказували на його причетність до атаки. Повідомлення у Discord розкривали його комунікації. Дані SIM відстежували активність його телефону. Федеральні прокурори пред’явили йому 30 кримінальних звинувачень, зокрема за крадіжку особистих даних, шахрайство з переказами і несанкціонований доступ до комп’ютерів — ці звинувачення могли призвести до 210 років ув’язнення.

Але результат здивував спостерігачів. Оскільки Кларк був неповнолітнім, федеральні прокурори домовилися про юнацький вирок. Він провів 3 роки у ювенальній виправній установі і отримав 3 роки умовно. Підліток, що зламав наймогутнішу соцмережу світу, вийшов на свободу ще до 21 року.

Іронія: спадщина Грема Івана Кларка живе через сучасні крипто-шахрайства

Сьогодні Грем Іван Кларк живе вільним. Він зберіг мільйони у криптовалюті. Його майже не можна торкнутися через його юнацький статус і відбування покарання. Він успішно зламав Twitter ще до того, як платформа перейшла під бренд X під керівництвом Ілона Маска.

Гірка іронія? Платформа X — саме та мережа, яку він зламав, — тепер щодня наповнюється шахрайствами з криптовалютою, що використовують ідентичні механіки. Ті самі соціальні інженерії. Ті самі психологічні маніпуляції. Ті сама довіра і терміновість, що зробили Грема Івана Кларка багатим, продовжують жертвувати мільйонам звичайних користувачів.

Що злам Грема Івана Кларка відкриває про сучасну безпеку

Грем Іван Кларк довів одну фундаментальну істину, яка залишається незмінною: вам не потрібні високотехнічні навички, щоб зламати великі системи. Вам потрібно лише розуміти, як поводяться люди під тиском.

Соціальна інженерія успішна, бо:

• Терміновість створює сліпі зони. Реальні організації рідко вимагають негайних дій без перевірки
• Авторитет викликає послух. Люди вважають, що внутрішні підтримки не зловживатимуть довірою
• Знайомство породжує довіру. Легко підробити офіційні канали, що вводить в оману більшість співробітників
• Більшість безпеки — це технічне, тоді як атаки — психологічні. Найміцніший файрвол не захистить співробітника, переконаного, що він дотримується протоколу

Уроки для захисту від подібних атак:

• Перевіряйте запити через офіційні канали, а не через номери телефонів або посилання, які надає запитувач
• Ніколи не діліться обліковими даними, кодами або токенами з будь-ким, незалежно від їхнього статусу
• Пильно ставтеся до заяв про перевірені акаунти — їх найпростіше підробити і завдати максимальної шкоди
• Уважно перевіряйте URL перед введенням логінів — соціальні інженери точно копіюють офіційні сайти
• Зрозумійте, що страх і жадоба — це найкращі об’єкти для експлуатації, ніж будь-які технічні вразливості

Злом Грема Івана Кларка показує, що сучасна безпека залежить не так від складних технологій, як від організаційної культури, яка ставить під сумнів, перевіряє і підтримує здоровий скептицизм. Реальна вразливість ніколи не була у коді Twitter. Вона була у людській психології — саме цій цілі, що зробила атаки Грема Івана Кларка настільки руйнівними.