Vitalik Buterin, cofondatore di Ethereum, ha confermato che il recente hack del suo account X (Twitter) è stato causato da un attacco SIM-swap.
Il 12 Settembre, parlando sul social network decentralizzato Farcaster, Buterin ha dichiarato di aver finalmente recuperato il suo account T-Mobile dopo che l'hacker era riuscito ad ottenerne il controllo tramite un attacco SIM-swap.
"Sì, si è trattato di un SIM swap, vale a dire che qualcuno ha manipolato T-mobile per impossessarsi del mio numero di telefono".
Il cofondatore di Ethereum ha poi aggiunto alcune lezioni e insegnamenti tratti dalla sua esperienza con X.
"Un numero di telefono è sufficiente per reimpostare la password di un account Twitter, anche se non viene utilizzato come 2FA", ha dichiarato, aggiungendo che gli utenti possono "rimuovere completamente [un] telefono da Twitter".
"Avevo già sentito il consiglio 'i numeri di telefono sono insicuri, non autenticatevi con loro', ma non me ne ero reso conto".
Il 9 Settembre, l'account X di Buterin è stato preso di mira da truffatori che hanno pubblicato un falso giveaway NFT, spingendo gli utenti a cliccare su un link malevolo, che ha portato le vittime a perdere collettivamente oltre 691.000 $.
Il 10 Settembre, Tim Beiko, sviluppatore di Ethereum, ha raccomandato vivamente di rimuovere i numeri di telefono dagli account X e di attivare la 2FA. "Sembra una cosa ovvia averla attivata di default, o attivarla di default quando un account raggiunge, ad esempio, >10k follower", ha dichiarato rivolgendosi al proprietario della piattaforma Elon Musk.
Twitter opsec PSA:
Se avete un numero di telefono collegato al vostro account, anche con altri 2FA, può essere usato per resettare la vostra PW. È necessario disabilitarlo specificamente + rimuovere il numero di telefono.
Se il vostro account Twitter è stato creato prima della crittografia, vi consigliamo vivamente di ricontrollare e di aggiungere un 2FA forte! pic.twitter.com/uXrvHYhQvJ
— timbeiko.eth ☀️ (@TimBeiko) September 9, 2023
Twitter opsec PSA:
— timbeiko.eth ☀️ (@TimBeiko) September 9, 2023
If you have a phone number linked on your account, even with other 2FA, it can be used to reset your PW. Need to specifically disable it + remove phone #.
If your Twitter account pre-dates crypto, strongly recommend double-checking, and adding strong 2FA! pic.twitter.com/uXrvHYhQvJ
L'attacco SIM-swap o simjacking è una tecnica utilizzata dagli hacker per ottenere il controllo del numero di cellulare della vittima. Con il controllo del numero, i truffatori possono utilizzare l'autenticazione a due fattori (2FA) per accedere ai social media, alle banche e agli account crypto.
Non è la prima volta che T-Mobile è coinvolta in questo tipo di attacco. Nel 2020, il gigante delle telecomunicazioni è stato citato in giudizio per aver presumibilmente consentito il furto di 8,7 milioni di dollari in criptovalute tramite una serie di attacchi SIM-swap.
T-Mobile è stata nuovamente citata in giudizio nel Febbraio 2021, quando un cliente ha perso 450.000 $ in Bitcoin a causa di un attacco SIM-swap.
Articolo aggiornato per includere ulteriori commenti di Tim Beiko.