Namefi

Domain Mayday EP03: 2020 का Twitter Bitcoin अकाउंट टेकओवर

15 जुलाई 2020 को, हमलावरों ने फोन के जरिए Twitter में घुसपैठ की, Obama, Biden, Musk, Gates, Apple और Uber के वेरिफाइड अकाउंट्स को हाईजैक किया, और एक Bitcoin दोगुना करने का घोटाला चलाया — जिससे लगभग $118,000 की कमाई हुई। एक ऑनलाइन पहचान के नियंत्रण की चोरी पर गहरी पड़ताल, और यह किसी नाम के स्वामित्व के बारे में क्या सिखाता है।

प्रकाशित तारीख 17 जून 2026द्वारा Namefi टीम
  • domains
  • security
  • dns
  • domain-security
Domain Mayday EP03: 2020 का Twitter Bitcoin अकाउंट टेकओवर

एक बुधवार की दोपहर कुछ घंटों के लिए, इंटरनेट पर सबसे भरोसेमंद आवाजें सभी एक ही बात कहने लगीं: मुझे Bitcoin भेजो, और मैं तुम्हें दोगुना लौटाऊंगा।

Barack Obama ने यह कहा। Joe Biden ने यह कहा। Elon Musk ने यह कहा। Bill Gates, Jeff Bezos, Kanye West, Apple, Uber — वे नीले-टिक वाले, पहचान-सत्यापित अकाउंट जिन पर करोड़ों लोगों को भरोसा करना सिखाया गया था — सभी ने लगभग शब्द-दर-शब्द एक ही कच्चा क्रिप्टो घोटाला पोस्ट किया। उन लोगों में से किसी ने एक भी अक्षर नहीं टाइप किया। उनके अकाउंट्स ने किया, क्योंकि कोई और उन चाबियों को थामे हुए था।

यह है Domain Mayday EP03। पहले दो एपिसोड नामों के बारे में थे — कौन उन्हें रखता है, कौन उन्हें ले सकता है। यह एपिसोड एक अलग वेशभूषा में उसी सवाल के बारे में है। एक Twitter हैंडल, एक वेरिफाइड बैज, एक डोमेन नाम: प्रत्येक एक पहचान का दावा है जिस पर हम बाकी लोग भरोसा करते हैं। और 15 जुलाई 2020 को, हमलावरों ने यह साबित कर दिया कि उस दावे को हड़पने के लिए कितना कम लगता है — न किसी मैलवेयर से, न किसी जीरो-डे से, बल्कि एक फोन कॉल से।

एक हैंडल में बसता भरोसा

एक वेरिफाइड अकाउंट भरोसे का शॉर्टकट है। जब @BarackObama पोस्ट करते हैं, तो आप यह दोबारा सत्यापित नहीं करते कि यह वाकई वही हैं; हैंडल और बैज मिलकर ही सत्यापन हैं। यह शॉर्टकट अत्यंत मूल्यवान है — और अत्यंत नाजुक भी, क्योंकि सारा भरोसा अकाउंट पर जमा होता जाता है, जबकि अकाउंट का नियंत्रण कहीं और हो सकता है।

यही संरचना एक डोमेन नाम की भी है। whitehouse.gov पर इसलिए भरोसा किया जाता है क्योंकि हर विजिटर सर्टिफिकेट चेन की जांच नहीं करता, बल्कि इसलिए कि नाम अपने आप में अधिकार रखता है। उस नाम को नियंत्रित करें — रजिस्ट्रार पर, DNS पर, एडमिन पैनल पर — और आप तुरंत वह सारा भरोसा विरासत में पा लेते हैं जो लोगों ने उसमें डाला है, चाहे वह कभी आपका रहा हो या न हो।

2020 का Twitter हैक भरोसे और नियंत्रण के बीच उस अंतर का सबसे साफ प्रदर्शन है जो हमारे पास है। न्यूयॉर्क के वित्तीय नियामक ने, जिसने इसलिए जांच की क्योंकि विनियमित क्रिप्टो फर्में पीड़ितों में शामिल थीं, सीधे शब्दों में कहा: यह हमला "एक चेतावनी की कहानी है कि अपरिष्कृत साइबर अपराधियों द्वारा भी असाधारण नुकसान किया जा सकता है।"

15 जुलाई 2020: टेकओवर

एक एकल चमकती मास्टर चाबी की ज्वलंत रंगीन कॉन्सेप्ट आर्ट जो समान नीले वेरिफाइड बैजों की एक विशाल दीवार को खोल रही है, प्रत्येक बैज क्रम में खुल रहा है

यह तेजी से और दिन के उजाले में हुआ। Wikipedia के पुनर्निर्माण के अनुसार, "15 जुलाई 2020 को, 20:00 और 22:00 UTC के बीच, 130 हाई-प्रोफाइल Twitter अकाउंट्स से समझौता किया गया।"

न्यूयॉर्क डिपार्टमेंट ऑफ फाइनेंशियल सर्विसेज (DFS) की रिपोर्ट इसकी कोरियोग्राफी बताती है। हमलावरों ने पहले क्रिप्टो पर वार्मअप किया: "हैकर्स ने पहले प्रसिद्ध क्रिप्टोकरेंसी कंपनियों और व्यक्तियों से जुड़े Twitter अकाउंट्स में हेरफेर किया," Bitcoin वॉलेट की ओर इशारा करते हुए डायरेक्ट मैसेज और ट्वीट भेजे। फिर उन्होंने दांव बढ़ाया: "हैकर्स ने फिर दांव काफी ऊंचा किया और लाखों फॉलोअर्स वाले वेरिफाइड Twitter अकाउंट्स को निशाना बनाया।"

जिन अकाउंट्स को निशाना बनाया गया उनकी सूची प्लेटफॉर्म के सबसे भरोसेमंद अकाउंट्स की मेहमान सूची जैसी लगती है। Wikipedia नोट करता है कि "कथित रूप से समझौता किए गए अकाउंट्स में Barack Obama, Joe Biden, Bill Gates, Jeff Bezos जैसे प्रसिद्ध व्यक्तियों... और Apple, Uber और Cash App जैसी कंपनियों के शामिल थे।"

संदेश एक जैसा और बेतुके तरीके से सरल था। Apple के अकाउंट से, जैसा Wikipedia ने दर्ज किया: "हम अपने समुदाय को वापस दे रहे हैं। हम Bitcoin का समर्थन करते हैं और मानते हैं कि आपको भी करना चाहिए! हमारे पते पर भेजा गया सारा Bitcoin आपको दोगुना करके वापस भेजा जाएगा!" एक ही प्रस्ताव, दुनिया के दर्जनों सबसे विश्वसनीय मुखों से एक साथ दोहराया गया।

हर अकाउंट का उपयोग नहीं किया गया। छुए गए 130 में से, नियामक ने पाया, "कुल मिलाकर, Twitter हैक के दौरान 130 Twitter यूजर अकाउंट्स से समझौता किया गया। उनमें से, 45 अकाउंट्स का उपयोग ट्वीट भेजने के लिए किया गया।" पैंतालीस मेगाफोन काफी से ज्यादा थे।

वास्तव में क्या खोया

कच्चे डॉलर में, कमाई कम थी। DFS रिपोर्ट बताती है कि "हैकर्स ने Twitter हैक के जरिए लगभग $118,000 मूल्य का Bitcoin चुराया।" Wikipedia नोट करता है कि एक ही स्कैम वॉलेट "320 से अधिक जमा प्राप्त हुए जिनका मूल्य US$110,000 से अधिक था, इससे पहले कि स्कैम संदेश हटाए गए।" इस परिमाण के उल्लंघन के लिए, $118,000 लगभग शर्मनाक रूप से मामूली है।

लेकिन डॉलर का आंकड़ा नुकसान को बहुत कम आंकता है। उस दोपहर जो वास्तव में गिरा वह था भरोसे के संकेत के रूप में वेरिफाइड हैंडल की अखंडता। दो घंटे के लिए, एक नीले टिक का कोई मतलब नहीं था। प्लेटफॉर्म की पूरी पहचान परत — वह चीज जो आपको विश्वास दिलाती थी कि एक ट्वीट उस व्यक्ति से आया जिसका नाम उस पर था — स्पष्ट रूप से, एक साथ एक किशोर द्वारा नियंत्रणीय थी। Twitter की प्रतिक्रिया बताने वाली थी: उसने अस्थायी रूप से कई वेरिफाइड अकाउंट्स की ट्वीट करने की क्षमता को फ्रीज कर दिया। भरोसेमंद अकाउंट्स को झूठ बोलने से रोकने का एकमात्र तरीका उन्हें चुप करना था।

यही पहचान के टेकओवर की असली कीमत है। पैसा एक फुटनोट है। नुकसान यह है कि "यह अकाउंट = यह व्यक्ति" सच रहना बंद हो जाता है, और हर कोई जो उस समीकरण पर निर्भर था, वह उजागर हो जाता है।

यह कैसे हुआ: एक फोन कॉल, फिर एक एडमिन पैनल

एक टेलीफोन हैंडसेट की ज्वलंत रंगीन कॉन्सेप्ट आर्ट जो मछली पकड़ने की लाइन की तरह डाली गई है, उसका हुक स्विच और टॉगल से भरे एक चमकते आंतरिक कंट्रोल पैनल के डैशबोर्ड को फंसा रहा है

कोई एक्सप्लॉइट नहीं था। DFS रिपोर्ट जोर देकर कहती है: "Twitter हैक में साइबरअटैक में अक्सर इस्तेमाल की जाने वाली हाई-टेक या परिष्कृत तकनीकों में से कोई भी शामिल नहीं थी — न मैलवेयर, न एक्सप्लॉइट, और न बैकडोर।" इसके बजाय, "हैकर्स ने एक पारंपरिक स्कैम आर्टिस्ट की तकनीकों के समान बुनियादी तकनीकों का उपयोग किया: फोन कॉल जहां उन्होंने Twitter के Information Technology विभाग से होने का नाटक किया।"

यह है vishing — वॉइस फिशिंग। हमलावरों ने "कई Twitter कर्मचारियों को फोन किया और Twitter के IT विभाग के Help Desk से बात करने का दावा किया," और "दावा किया कि वे उस रिपोर्ट की गई समस्या का जवाब दे रहे हैं जो कर्मचारी को Twitter के Virtual Private Network के साथ हो रही थी।" Twitter ने खुद बाद में इसे "फोन स्पीयर फिशिंग अटैक" के रूप में वर्णित किया जो "कुछ कर्मचारियों को गुमराह करने और मानवीय कमजोरियों का फायदा उठाने के एक महत्वपूर्ण और संगठित प्रयास" पर निर्भर था।

विश्वास दिलाने वाली बात तकनीकी कौशल नहीं, बल्कि रिसर्च थी। जैसा कि सुरक्षा पत्रकार Brian Krebs ने दस्तावेज किया, हमलावरों ने प्रोफाइल डेटा पर भरोसा किया — LinkedIn और पिछले डेटा लीक से खींचे गए नाम, भूमिकाएं, व्यक्तिगत विवरण — असली सहयोगियों की तरह लगने के लिए। एक बार जब एक कर्मचारी को कॉलर पर विश्वास हो गया, तो उस कर्मचारी ने क्रेडेंशियल सौंप दिए, और क्रेडेंशियल ने पुरस्कार का दरवाजा खोला: Twitter का आंतरिक अकाउंट-प्रबंधन टूलिंग।

वह टूल पूरी कहानी का केंद्र है। Krebs ने रिपोर्ट किया कि "Twitter के एडमिन टूल्स के भीतर, जाहिर तौर पर आप किसी भी Twitter यूजर का ईमेल पता अपडेट कर सकते हैं" — ईमेल बदलें, पासवर्ड रीसेट ट्रिगर करें, और अकाउंट आपका है, बैज सहित। DFS रिपोर्ट उस संरचनात्मक विफलता की ओर इशारा करती है जिसने एक टूटे हुए कर्मचारी को इतना विनाशकारी बना दिया: "Twitter ने आंतरिक टूल्स तक पहुंच सीमित की, लेकिन 1,000 से अधिक Twitter कर्मचारियों की फिर भी उन तक पहुंच थी।" एक हजार से अधिक लोगों के पास प्लेटफॉर्म पर हर पहचान की मास्टर चाबी थी, और कंपनी के पास इसे देखने के लिए कोई मुख्य सूचना सुरक्षा अधिकारी नहीं था — Twitter "दिसंबर 2019 से, Twitter हैक से सात महीने पहले से, मुख्य सूचना सुरक्षा अधिकारी ("CISO") नहीं था।"

इस सब के नीचे एक बाजार भी था। सेलिब्रिटी घोटाला शुरू होने से पहले, गिरोह चोरी किए हुए छोटे "OG" हैंडल बेच रहा था। Krebs ने नोट किया कि Obama/Biden/Musk/Gates के ब्लास्ट से पहले, "कई अत्यधिक वांछनीय शॉर्ट-कैरेक्टर Twitter अकाउंट नाम हाथ बदल गए," क्योंकि उस समुदाय में "शॉर्ट-कैरेक्टर प्रोफाइल नाम स्थिति और धन का माप देते हैं" और "पुनर्विक्रय होने पर अक्सर हजारों डॉलर प्राप्त कर सकते हैं।" दुर्लभता मूल्य वाले नाम, चोरी किए गए और एक फोरम पर बेचे गए — एक पैटर्न जिसे कोई भी डोमेन निवेशक तुरंत पहचान लेगा।

परिणाम और गिरफ्तारियां

उजागर होना हैक जितना ही तेज था। दो सप्ताह के भीतर, अभियोजक आगे बढ़े। Krebs ने आरोपों की रिपोर्ट दी: "Mason 'Chaewon' Sheppard, U.K. के Bognor Regis का 19 वर्षीय, को California में वायर फ्रॉड करने की साजिश, मनी लॉन्ड्रिंग और कंप्यूटर तक अनधिकृत पहुंच के आरोपों में आरोपित किया गया था," और "Orlando, Fla. के 22 वर्षीय Nima 'Rolex' Fazeli को Northern California में एक संरक्षित कंप्यूटर तक जानबूझकर पहुंच में सहायता और उकसावे के आपराधिक शिकायत में आरोपित किया गया था।"

लेकिन कथित मुख्य आरोपी और भी छोटा था। "Tampa, Fla. का 17 वर्षीय Graham Clark 15 जुलाई के Twitter हैक में आरोपित लोगों में था," और एक नाबालिग के रूप में उस पर संघीय अदालत के बजाय Florida के राज्य अटॉर्नी द्वारा आरोप लगाए गए। उसे "30 फेलोनी आरोपों का सामना करना पड़ा, जिसमें संगठित धोखाधड़ी, संचार धोखाधड़ी शामिल है।"

अगले मार्च में, Clark ने एक समझौता किया। CyberScoop ने रिपोर्ट किया कि उसने "एक ऐसी योजना के पीछे होने को स्वीकार किया जिसमें उसने कई सार्वजनिक हस्तियों के Twitter अकाउंट्स पर कब्जा करके $117,000 से अधिक चुराए।" सार्वजनिक रेडियो स्टेशन WUSF ने सजा की रिपोर्ट दी: "एक किशोर सुविधा में तीन साल, उसके बाद तीन साल की परिवीक्षा," जो "राज्य के युवा अपराधी कानून के तहत अनुमत अधिकतम थी।"

बाद में एक चौथा व्यक्ति सामने आया। Wikipedia दर्ज करता है कि "अप्रैल 2023 में, ऑनलाइन हैंडल PlugwalkJoe वाले 23 वर्षीय British नागरिक Joseph James O'Connor को आरोपों का सामना करने के लिए Spain से New York प्रत्यर्पित किया गया था," और बाद में उसे संघीय जेल में पांच साल की सजा सुनाई गई।

ऑनलाइन पहचान को नियंत्रित करने के बारे में यह क्या सिखाता है

सेलिब्रिटी के नाम और क्रिप्टो को हटा दें, और 2020 का Twitter हैक एक पहचान रखने और उसे नियंत्रित करने के बीच के अंतर का एक शुद्ध पाठ है। इसमें से कुछ सिद्धांत निकलते हैं:

  1. भरोसा नाम पर जमा होता है; नियंत्रण बैक ऑफिस में रहता है। करोड़ों लोगों ने @BarackObama पर भरोसा किया। उस भरोसे में से किसी ने भी अकाउंट की रक्षा नहीं की, क्योंकि अकाउंट का नियंत्रण सतह एक आंतरिक एडमिन पैनल था जिस तक एक हजार से अधिक कर्मचारी पहुंच सकते थे। जो भी बैक ऑफिस को नियंत्रित करता है वह पहचान को नियंत्रित करता है, चाहे सामने किसी का भी नाम हो।

  2. सबसे कमजोर कड़ी लगभग कभी भी क्रिप्टोग्राफी नहीं होती। कोई एक्सप्लॉइट नहीं, कोई मैलवेयर नहीं, कोई बैकडोर नहीं — बस एक आश्वस्त करने वाला फोन कॉल। पहचान प्रणालियां गणित की परत की तुलना में मानवीय और प्रक्रिया परत पर कहीं अधिक बार विफल होती हैं। एक दरवाजे पर एक परफेक्ट ताला जिसे कोई भी मददगार कर्मचारी अनुरोध पर खोल देगा, ताला नहीं है।

  3. कुल नियंत्रण का एक बिंदु, कुल विफलता का एक बिंदु है। एक पुन: उपयोग योग्य आंतरिक टूल जो किसी भी अकाउंट का ईमेल बदल सकता था, इसका मतलब था कि एक समझौता किया गया कर्मचारी = प्लेटफॉर्म-व्यापी टेकओवर। केंद्रित, प्रतिवर्ती, अपारदर्शी नियंत्रण ही कमजोरी है।

  4. दुर्लभ नाम निशाना होते हैं। जिस गिरोह ने राष्ट्रपतियों को हाईजैक किया, वह चुपचाप छोटे "OG" हैंडल भी हजारों डॉलर में बेच रहा था। मूल्यवान नाम चोरी को आकर्षित करते हैं, और एक नाम की कीमत ही है जो उसके नियंत्रण को चुराने लायक बनाती है।

  5. रिकवरी प्लेटफॉर्म की दया पर निर्भर नहीं होनी चाहिए। जब भरोसेमंद अकाउंट झूठ बोलने लगे, तो Twitter का एकमात्र उपाय उन्हें फ्रीज करना था। पहचान के मालिकों के पास "यह वाकई मैं हूं" साबित करने या नियंत्रण वापस पाने का कोई स्वतंत्र तरीका नहीं था — वे पूरी तरह एक केंद्रीकृत ऑपरेटर के आंतरिक टूलिंग और सदिच्छा पर निर्भर थे।

Namefi का नजरिया

ऑनलाइन पहचान के सत्यापन योग्य, छेड़छाड़-प्रतिरोधी स्वामित्व का रंगीन चित्रण — एक हरे शील्ड, एक हरे Namefi टोकन, और निरंतरता द्वारा सुरक्षित

एक डोमेन नाम एक ऑनलाइन पहचान है जिसमें वही भरोसे-बनाम-नियंत्रण अंतर है जो Twitter के वेरिफाइड हैंडल में था — और अक्सर वही तरह का अपारदर्शी बैक ऑफिस। अधिकांश डोमेन के लिए, "स्वामित्व" एक रजिस्ट्रार अकाउंट में रहता है, एक पासवर्ड और एक सपोर्ट टीम द्वारा बचाव किया गया। एक आश्वस्त करने वाला फोन कॉल, एक सोशल-इंजीनियर्ड सपोर्ट प्रतिनिधि, एक आंतरिक पैनल के जरिए एक ईमेल बदलाव — 2020 का Twitter प्लेबुक लगभग एक-से-एक एक रजिस्ट्रार अकाउंट टेकओवर पर मैप होता है। दुनिया ने आपके डोमेन में जो भरोसा डाला है वह उसकी रक्षा नहीं करता यदि उस डोमेन का नियंत्रण एक हेल्प डेस्क के पीछे है जिसे किसी भी बात पर राजी किया जा सकता है।

Namefi उस अंतर को बंद करने के लिए मौजूद है। मूल विचार यह है कि एक डोमेन का नियंत्रण सत्यापन योग्य और मालिक-अधीन होना चाहिए, न कि किसी और के एडमिन टूल में एक सेटिंग। DNS के साथ संगत रहते हुए डोमेन स्वामित्व को एक टोकनाइज्ड, ऑन-चेन एसेट के रूप में प्रस्तुत करके, Namefi "इस नाम को कौन नियंत्रित करता है?" सवाल का जवाब किसी सपोर्ट एजेंट के दबाव में फैसले के बजाय क्रिप्टोग्राफिक रूप से देने योग्य बनाता है। कोई एकल आंतरिक पैनल नहीं है जिस तक एक हजार कर्मचारी चुपचाप आपका नाम फिर से असाइन करने के लिए पहुंच सकें; नियंत्रण का प्रमाण मालिक के पास रहता है, और ट्रांसफर सुधारे जाने योग्य की बजाय ऑडिट योग्य हैं।

2020 का Twitter हैक इसलिए काम किया क्योंकि पहचान और नियंत्रण को चुपचाप अलग कर दिया गया था — नाम एक बात कहता था जबकि एक छिपा हुआ एडमिन टूल दूसरा फैसला करता था। जो कोई भी किसी नाम पर निर्भर है उसके लिए सबक यह है कि नियंत्रण को उतना ही स्पष्ट और मालिक-केंद्रित बनाएं जितना भरोसा नाम रखता है। एक हैंडल, एक बैज, एक डोमेन: प्रत्येक केवल उतना ही सुरक्षित है जितना उसके पीछे का बैक ऑफिस। Namefi का दांव यह है कि बैक ऑफिस एक सत्यापन योग्य बहीखाता होना चाहिए जिसे आप नियंत्रित करते हैं, न कि एक फोन लाइन जिसका जवाब देने के लिए किसी और को धोखा दिया जा सकता है।

स्रोत और आगे पढ़ने के लिए

लेखक के बारे में

Namefi टीम
Namefi टीम • Namefi
TwitterLinkedIn

Namefi इंजीनियरों, डिज़ाइनरों और ऑपरेटरों का एक समूह है जो ऐसे उपकरण बनाने में विश्वास रखता है जो आपके ऑन-चेन डोमेन नामों का प्रबंधन बेहद आसान कर दें।

संबंधित गाइड