Уязвимость сервиса автопостинга IFTTT привела к взлому криптоинфлюенсеров в X

social network hacking
social network hacking

21 марта учетные записи нескольких влиятельных лиц криптоиндустрии в X скомпрометировали для продвижения скам-токена PACKY. Вероятно, хакер получил доступ через сервис автоматической публикации постов IFTTT (If This then That). 

Одной из жертв стал советник Andreessen Horowitz (a16z) Паки Маккормик. В мошенническом посте злоумышленник призывал инвестировать в новый мем-токен «с большими маркетинговыми планами и листингами на CEX», прикрепив адрес Solana-кошелька. 

«Это не я. Аккаунт взломан. Работаем над тем, чтобы это исправить. Не переходите по моим ссылкам и (очевидно) не отправляйте деньги на случайный адрес», — заявил Маккормик после восстановления доступа. 

Позднее советник a16z предположил, что хакер получил контроль над аккаунтом через IFTTT, которому он «предоставил доступ к Twitter примерно десять лет назад». 

Маккормик напомнил о необходимости периодически отзывать разрешения у сторонних приложений.

IFTTT — запущенный в 2011 году веб-сервис, позволяющий пользователям настраивать автоматизированные процессы на различных онлайн-платформах и соцсетях.

С аналогичной проблемой столкнулся соучредитель стриминговой платформы Twitch Джастин Кан. 

«Похоже, меня взломали, не покупайте никаких шиткоинов, пожалуйста», — написал он. 

Директор по продукту Coinbase Скотт Шапиро также подвергся взлому. От его лица хакер продвигал тот же токен PACKY, который якобы запущен в сотрудничестве с генеральным директором биржи Брайаном Армстронгом. 

«Есть ли что-нибудь, что говорит о Web 2.0 больше, чем этот список подключенных приложений? Страшно, сколько токенов авторизации десятилетней давности находится на этих кладбищах. Отключить все», — говорится в его посте. 

Кроме того, злоумышленники атаковали учетные записи соучредителя Web3-приложения Rainbow Майка Демариаса, генерального директора Asymmetric Finance Джо Макканна и цифрового художника Брайана Бринкмана.

«Усвоенный мной урок заключается в том, что даже при использовании 2FA и Yubikey всегда есть уязвимости», — отметил последний. 

Ончейн-сыщик ZachXBT согласился с предположением об уязвимости со стороны IFTTT. 

Ранее официальный X-аккаунт производителя аппаратных криптокошельков Trezor взломали для продвижения криптоскама. Хакеры предлагали отправить средства на пресейл нового токена. 

19 марта неизвестные взломали учетную запись блокчейна The Open Network в Х и разместили фейковый пост о проведении аирдропа.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK