Graham Ivan Clark: Підліток, який розкрив вразливість людини у Twitter

15 липня 2020 року мільйони користувачів стали свідками неможливого: найвпливовіші акаунти у Twitter — Ілон Маск, Барак Обама, Джефф Безос, Apple, Джо Байден — одночасно публікували однакове повідомлення: «Відправ мені тисячу доларів у Bitcoin і отримай дві тисячі взамін». Не дивною була не сама суть, а хто це зробив. За цим несанкціонованим доступом стояв Грем Іван Кларк, 17-річний підліток із Тампи, Флорида, який довів, що зламати платформу не потрібно складних кодів, а глибокого розуміння людської психології.

Поки влада тижнями шукала винуватця, технологічна спільнота ставилася до питання: як підліток міг зламати безпеку найконтрольованішої компанії Кремнієвої долини?

Еволюція Грема Івана Кларка: від шахрая у відеоіграх до соціального інженера

Грем Іван Кларк не народився як досвідчений кіберзлочинець. Його шлях почався набагато раніше, коли через платформи, такі як Minecraft, він здійснював прості шахрайства: продавав віртуальні предмети, отримував реальні гроші і зникав. У 15 років він значно розширив свої операції, приєднавшись до OGUsers — авторитетного форуму в нелегальній екосистемі, де торгували доступами до викрадених акаунтів соцмереж.

Вражаюче в методах Грема Івана Кларка було його свідоме відмовлення від традиційних технічних методів. Поки інші хакери витрачали час на створення шкідливого програмного забезпечення або використання вразливостей у коді, він зосереджувався на більш смертельному — соціальному інженерії. Його арсенал становили переконання, психологічна маніпуляція і жахлива розуміння, як працівників можна обдурити, щоб вони порушили безпекові протоколи.

У 16 років він освоїв особливо ефективну техніку — SIM swap, або заміну SIM-карти. Телефонними дзвінками він видавав себе за власника номера і просив перенести його послугу на нову SIM-карту під його контролем. Це, здавалося б, проста хитрість давала доступ до електронної пошти, криптогаманців і банківських рахунків. Серед його жертв були впливові інвестори у криптовалюти, яких він ідентифікував, публічно демонструючи свою багатство.

Взлом Twitter: коли “режим бога” потрапив до рук недобросовісних

З пандемією COVID-19 у 2020 році Twitter перейшов до масової віддаленої роботи. Працівники підключалися з особистих пристроїв, використовували домашні мережі і керували обліковими даними у менш контрольованих умовах. Грем Іван Кларк виявив цю вразливість і здійснив свою фінальну операцію як неповнолітній.

У співпраці з іншими підлітками він видавав себе за технічного підтримку Twitter. Телефонував працівникам компанії і надсилав фальшиві листи, нібито для “скидання паролів” для технічних цілей. Надсилав фальшиві сторінки входу, що автоматично збирали імена користувачів і паролі. Завдяки цій ланцюжку обманів він поступово отримав доступ до вищих рівнів адміністративних дозволів.

Найважливішим був доступ до “режиму бога” — адміністративної обліковки, яка дозволяла скинути паролі у всій платформі без додаткової автентифікації. З цим рівнем доступу Грем Іван Кларк і його спільники одночасно контролювали 130 перевірених акаунтів із найбільшим впливом у світі.

Колапс: коли 110 000 доларів у Bitcoin розкрили реальність

Твіти з’явилися близько 20:00 15 липня 2020 року. Інтернет паралізувало. Регулятори, бізнесмени і уряди усвідомили: найвпливовіші голоси в мережі під контролем неповнолітніх. За кілька годин понад 110 000 доларів у Bitcoin перетікли до гаманців, контрольованих зловмисником.

Twitter відповів безпрецедентним кроком: одночасно заблокував усі перевірені акаунти у світі — такого ще не робили в історії платформи. Однак шкода вже була нанесена. Цікаво, що Грем Іван Кларк не спрямовувався на фінансовий ринок або масову шантаж. Його мета була суто демонстративною: показати, що він може контролювати найбільший цифровий мегафон у світі.

Наслідки: в’язниця, повернення грошей і незручна іронія

Коли ФБР відстежило Грема Івана Кларка за IP-адресами, історією Discord і даними SIM swap, йому висунули 30 кримінальних звинувачень, зокрема у крадіжці особистих даних, електронному шахрайстві та несанкціонованому доступі до систем. Потенційний термін ув’язнення міг сягати 210 років.

Однак, оскільки він був неповнолітнім, Грем Іван Кларк уклав угоду. Провів три роки у центрі для неповнолітніх, потім ще три — під наглядом. Під час попереднього обшуку у 2019 році влада конфіскувала 400 Bitcoin, оцінюваних приблизно у 4 мільйони доларів. Грем повернув 1 мільйон доларів “для закриття справи”, але залишив інше майно у законній власності через свій статус неповнолітнього.

Через десять років, коли Twitter перейменували на X під керівництвом Ілона Маска, платформа стала ідеальним майданчиком для шахрайств із криптовалютами — саме тих обманів, що збагачували Грема Івана Кларка. Іронія тут не випадкова.

Основний урок: чому соціальний інженерінг залишається найефективнішим вектором атаки

Випадок Грема Івана Кларка підкреслює неприємну істину, яку технологічна індустрія хотіла б ігнорувати: системи не зламані переважно через технічні вразливості, а через людські слабкості. Соціальний інженерінг — це не традиційний хакінг. Це систематична психологічна маніпуляція.

Найскладніші захисти руйнуються перед трьома елементами: страхом (терміновість вирішення технічних проблем), жадібністю (обіцянка швидкого заробітку у Bitcoin) і неправильною довірою (фальшивий авторитет, створений підробкою). Ці фактори виходять за межі технологій і працюють на рівні людських емоцій.

Справжній злом, здійснений Гремом Іваном Кларком, був психологічним. Він не зламав код — він зламав протоколи поведінки. І довів, що у 2026 році ще актуально: не потрібно бути генієм у програмуванні, щоб зламати критичні системи, якщо ви вмієте переконати тих, хто їх захищає, що ви — той, кому можна довіряти.