Twitters VD utsatt för kontokapning

Uppdatering 2019-08-31: Kompletterande information om potentiell attackmetod.

Under gårdagskvällen, svensk tid, började Twitter-kontot @jack twittra ut diverse obsceniteter. Det rörde sig om allt från sympatier för Nazityskland till kränkningar mot mörkhyade personer. Twitter-kontot i fråga tillhör dock inte något obetydligt troll. Det tillhör Twitters VD och medgrundare Jack Dorsey som har över fyra miljoner följare.

Kapade sociala medier-konton är ett återkommande problem. Angriparna lyckades troligtvis få möjlighet att twittra från Dorseys konto genom den Twitter-ägda appen Cloudhopper. Detta indikeras av metainformationen som anger vilken twitterklient som används. Om så var fallet var det alltså inte ett svagt lösenord eller avsaknad tvåstegsverifiering till Twitter i sig som möjliggjorde attacken. Då hade angriparna istället lyckats spoofa Dorseys mobilnummer eller lurat Dorseys mobiloperatör att ge dem ett SIM-kort med hans nummer, vilket i sin tur gjorde det möjligt för dem att SMS-twittra via Cloudhopper.

Detta påminner oss om att vara restriktiva med vilka appar och tjänster som vi ger tillgång till våra konton. Med anledning av incidenten uppmanar vi alla läsare att se över säkerheten på sina Twitter-konton (och gärna även övriga sociala mediekonton). En kortfattad version av dessa råd finns även i Aftonbladet.

1. Välj ett starkt lösenord

Öppna Twitter i din webbläsare, klicka på Inställningar och välj Konto följt av Lösenord (direktlänk). Välj ett långt och starkt lösenord. Använd med fördel en lösenordshanterare som Lastpass för att generera lösenordet och spara det på ett säkert vis. Undvik att använda samma lösenord på någon annan webbplats.

Twitters lösenordsinställningar
Välj ett starkt och unikt lösenord

2. Aktivera tvåstegsverifiering

Växla över till fliken Säkerhet och klicka på Autentisering med två faktorer (direktlänk). Twitter använder tyvärr SMS för tvåstegsverifiering, vilket är den minst säkra metoden. Tvåstegsverifiering med SMS är dock bättre än ingen tvåstegsverifiering alls.

Twitter kontoinställningar för tvåstegsverifiering
Aktivera tvåstegsverifiering.

Twitter stödjer även tvåstegsverifiering via mobilapp (t.ex. Authy) och säkerhetsnyckel (t.ex. Yubikey). Problemet är att SMS inte går att välja bort, något som på så sätt ändå sänker säkerheten till SMS-nivå.  

3. Ta bort onödiga appar och tjänster

Växla avslutningsvis till fliken Appar och sessioner (direktlänk). Rensa bort alla appar och tjänster som du inte använder längre. Tänk på att om en app skyddas med sämre säkerhet än ditt konto så sjunker den allmänna säkerhetsnivån till den minsta gemensamma nämnaren.

Twitters kontoinställningar för appåtkomst
Ta bort onödiga appar.

Mer information om hur sociala medier-konton bör skyddas finns i Bli säker-boken. Där finns också allmänna råd kring lösenordshantering och tvåstegsverifiering.