23 апреля всполошились редакции СМИ по всему миру: агентство Associated Press сообщило о взрывах в Белом доме и ранении президента США Барака Обамы. Ситуацию усугубляло то, что сообщение появилось не в закрытой новостной ленте агентства, а в его микроблоге, который читают почти два миллиона пользователей. Впрочем, довольно быстро выяснилось, что страшный твит — всего лишь проделка сирийских хакеров, неоднократно взламывавших микроблоги популярных СМИ.
«Обаму взорвали!»
«Сирийская электронная армия», которая взяла на себя ответственность за взлом микроблога Associated Press, давно (и довольно успешно) занимается подобной деятельностью в Сети. Группировка хакеров, поддерживающая сирийского президента Башара Асада, еще осенью 2011 года взломала сайт Гарвардского университета, разместив на нем сообщения о «политике убийств» США в Сирии. Тогда их действия фактически стали ответом на взлом правительственных сайтов Сирии хакерами, поддерживающими противников Асада.
Впоследствии сирийская «интернет-оппозиция» заявляла о себе все меньше и меньше, зато «Сирийская электронная армия» переключилась на журналистов. Так, летом 2012 года хакеры взломали микроблог «Аль-Джазиры», в феврале 2013 года — твиттер фотодепартамента агентства Agence France-Presse, в марте — несколько аккаунтов «Би-би-си», а в апреле — аккаунт @60minutes одноименной новостной передачи на CBS. Но во всех этих случаях факт взлома был очевиден: вместо новостных сообщений, выдержанных в определенном формате, хакеры публиковали обвинения в адрес американских властей и призывы поддержать Сирию. В случае же с микроблогом AP «Сирийская электронная армия» поступила иначе.
Твит, опубликованный хакерами в микроблоге @AP, гласил: «Срочно: Два взрыва в Белом доме, Барак Обама ранен». Очень быстро аккаунт агентства оказался заблокирован, но этих нескольких минут хватило, чтобы слух о взрыве разошелся по твиттеру и даже «задел» некоторые наиболее оперативные СМИ. Сообщение о ранении американского президента со ссылкой на микроблог AP передало в новостные ленты и российское агентство ИТАР-ТАСС. Ему, в свою очередь, поверило интернет-издание Newsru.com, пообещавшее «подробности в ближайшие минуты».
Тот факт, что СМИ и простые пользователи сразу же поверили в инцидент такого уровня, вполне объясним. Теракт в резиденции президента США, конечно, является событием из ряда вон выходящим, но Америка в последние месяцы пережила немало других из ряда вон выходящих событий: терактов, массовых убийств и писем с ядом, отправленных первым лицам страны.
Опровергать ложный твит AP пришлось в других Twitter-аккаунтах. Однако вскоре выяснилось, что по меньшей мере еще один микроблог агентства — @AP_mobile — также перешел под контроль хакеров. В нем и сообщалось о том, что за взломом твиттера стоит «Сирийская электронная армия». В подтверждение своих слов хакеры дали ссылку на соответствующее сообщение в своем официальном микроблоге, но очень быстро оба аккаунта были заморожены.
Твиттер Associated Press
Скриншот newsru.com
Скриншот сайта ИТАР-ТАСС
Само агентство решило временно заблокировать все свои микроблоги до тех пор, пока не будет уверено, что у злоумышленников нет доступа к ним. При этом AP раскрыло некоторые подробности взлома, заявив, что он последовал за фишинговыми атаками на корпоративную сеть агентства. Сотрудник AP Майк Бейкер (Mike Baker) уточнил, что менее чем за час до появления ложного твита некоторые корреспонденты получили «выразительно замаскированные» фишинговые письма. Иначе говоря, по всей видимости, хакеры сумели ввести в заблуждение одного из ведущих твиттера агентства, прислав ему письмо со ссылкой на ложный сайт.
В любом случае, как именно хакеры смогли завладеть микроблогом, который читает почти два миллиона пользователей, установят правоохранительные органы и служба безопасности Associated Press. ФБР уже начало расследование инцидента, но пока представители ведомства отказываются от каких-либо комментариев. Впрочем, если выяснится, что хакеры живут в Сирии, вряд ли американской Фемиде удастся их покарать.
Последствия
«Достаточно ли безопасен ваш пароль от твиттера?» — сайт, который запустился по следам взлома твиттера AP. Ресурс сообщает, что неосторожный твит может обвалить индексы Dow Jones, и предлагает пользователю ввести свои логин и пароль, чтобы «проверить» их стойкость.
Всех, кто поведется на эту уловку, встречает мотивирующий призыв не быть идиотами.
Сам ложный твит просуществовал всего несколько минут, однако этого времени ему оказалось достаточно, чтобы ударить по фондовым рынкам. Индекс Dow Jones, охватывающий 30 крупнейших компаний США, упал более чем на 130 пунктов (около одного процента). Аналогичное снижение было зафиксировано и по другим основным фондовым индексам в США. На процент упали и цены на нефть. Если выразить это снижение в денежном эквиваленте, то получится, что на несколько минут капитализация американских компаний снизилась на 200 миллиардов долларов. Как только стало ясно, что сообщения о взрывах в Белом доме не соответствуют действительности, показатели вернулись к прежним значениям.
Взлом микроблога AP также стал поводом для обсуждения слабой защищенности аккаунтов в Twitter. Действительно, будь то пользователь с двумя десятками подписчиков или же с двумя миллионами — для входа в аккаунт достаточно знать логин и пароль. Другие крупные интернет-компании, вроде Google или Facebook, позволяют пользователям включить двухфакторную авторизацию: в таком случае в дополнение к связке логин-пароль нужно ввести специально сгенерированный уникальный код, который приходит по СМС. И именно появление ложного твита о взрывах в Белом доме заставило Twitter ускорить тестирование аналогичной функции: по данным Wired, двухфакторную аутентификацию предложили AP, The New York Times и Джастину Биберу.
Наконец, у критиков ИТАР-ТАСС, поверившего в тот самый твит, появился повод лишний раз пнуть агентство за торопливость. По идее, для написания новостей такого уровня, как теракт в резиденции президента, нужен источник посерьезнее, чем твиттер. Но, с другой стороны, новостные агентства все чаще практикуют новую модель распространения срочных новостей: сначала их публикуют в микроблоге, а уже затем — в закрытой новостной ленте.
Взломанный аккаунт AP был восстановлен спустя почти сутки после взлома. На момент написания заметки счетчик в микроблоге агентства показывал чуть более 400 тысяч подписчиков. Вероятно, это также последствия взлома и остальных «фолловеров» Twitter вскоре вернет. Ну а ведущие аккаунта такого уровня — хотелось бы надеяться — больше не будут верить фишинговым письмам.