De aanvallers die afgelopen woensdag meerdere Twitteraccounts van bedrijven en prominenten wisten over te nemen deden dit door de e-mailadressen van deze accounts aan te passen en tweefactorauthenticatie uit te schakelen, zodat het wachtwoord kon worden gereset. Dat zegt een beveiligingsonderzoeker die één van de gekaapte accounts beheerde.

De onderzoeker, met het alias Lucky225, beheert het Twitteraccount @6, dat van de overleden hacker Adrian Lamo was. De onderzoeker had voor dit account tweefactorauthenticatie (2FA) ingeschakeld, maar alleen via one-time codes die via een authenticator-app zijn gegenereerd. Twitter biedt de optie om sms-gebaseerde codes uit te schakelen en de onderzoeker had dit ook gedaan.

Aan het Twitteraccount was een Google Voice-nummer gekoppeld. De aanvallers wijzigden het e-mailadres en besloten vervolgens het wachtwoord van het account te resetten. Doordat het Google Voice-nummer nog aan het account was gekoppeld werd de wachtwoordresetcode zowel naar het e-mailadres van de aanvallers als dit nummer gestuurd, zo blijkt uit een screenshot van de onderzoeker.

Twitter liet eerder al weten dat de aanvallers toegang hadden gekregen tot de interne systemen en zo de aanval konden uitvoeren. Volgens een analyse van de onderzoeker is het mogelijk om via de interne beheertool van Twitter e-mailadressen van accounts te wijzigen zonder dat gebruikers hier bericht van krijgen. Ook is het mogelijk om tweefactorauthenticatie uit te schakelen.

Zodra de aanvallers toegang tot de beheertool hadden wijzigden ze de e-mailadressen van de aangevallen accounts, schakelden 2FA uit en voerden daarna een wachtwoordreset uit. Daarbij werd de resetcode zowel naar het ingestelde e-mailadres gestuurd als het telefoonnummer dat aan het account was gekoppeld als 2FA was uitgeschakeld, wat de aanvallers hadden gedaan voor het uitvoeren van de wachtwoordreset, merkt de onderzoeker op. Twitter heeft zelf nog geen details gegeven hoe de aanval precies werd uitgevoerd.