Ти знаєш, що дивно? Найбільший злом у Твіттері не прийшов від якоїсь російської кібервійськової групи чи елітного хакерського синдикату. Він прийшов від бідного підлітка з Флориди, який мав лише ноутбук і нахабство реально це зробити. Я говорю про Грема Івана Кларка — і його історія чесно кажучи одна з найзахопливіших випадків соціальної інженерії, про які я коли-небудь читав.

Отже, ось що мене дивує: 15 липня 2020 року весь інтернет просто завис. Скрізь перевірені акаунти — Ілон Маск, Обама, Безос, Apple, Байден — всі публікували однакове повідомлення з проханням надсилати Bitcoin. Спочатку всі думали, що це якийсь складний мем. Але ні. Це були не скріншоти або фейкові акаунти. Твіти були живими. Реальними. І підліток якось взяв під контроль найвпливовіші голоси Твіттера.

За кілька хвилин у гаманці почали надходити Bitcoin на суму понад 110 000 доларів. За кілька годин Твіттер зробив щось безпрецедентне — вони заблокували всі перевірені акаунти по всьому світу. А людина, яка стояла за цим? Просто 17-річний хлопець із тимчасовим телефоном.

Що ще більш безглуздо, так це те, як Грем Іван Кларк взагалі туди потрапив. Виріс у Тампі, майже без нічого, починав з малого — шахрайства з Minecraft, злом каналів YouTube для помсти, торгівлі викраденими акаунтами соцмереж на підпільних форумах. Але йому не потрібні були навички програмування. Він зрозумів щось набагато потужніше: людську психологію. До 15 років він вже був глибоко в OGUsers, вивчаючи темне мистецтво соціальної інженерії.

Потім він відкрив для себе SIM-заміну. Тут стає ще темніше. Він переконував працівників телефонних компаній передавати контроль над номерами людей йому. Раптом він отримував доступ до їхніх електронних поштових скриньок, криптовалютних гаманців, банківських рахунків — усього. Один венчурний капіталіст прокинувся і виявив, що у нього зникло понад мільйон Bitcoin. Коли він звернувся до крадіїв, ті відповіли повідомленням: заплатиш — або ми прийдемо за твоєю родиною.

Гроші зробили його безрозсудним. Він обманював своїх партнерів. Вони прийшли до його дому. Його життя поза мережею почало руйнуватися — наркотики, зв’язки з бандами, хаос. Друг був застрелений у поганій угоді. До 2019 року поліція обшукала його квартиру і знайшла 400 Bitcoin. Він повернув мільйон, щоб зникнути. Йому було 17. Оскільки він був неповнолітнім, він легально зберіг решту.

Але Грем Іван Кларк не був задоволений. Він хотів ще один останній удар перед тим, як йому виповниться 18. Він хотів самого Твіттера.

Під час карантинних обмежень у COVID співробітники Твіттера працювали з дому, входили з особистих пристроїв. Грем і ще один підліток видавали себе за внутрішню ІТ-підтримку. Вони дзвонили співробітникам, надсилали фальшиві корпоративні сторінки входу і спостерігали, як ті ведуться. Крок за кроком вони проникали у систему Твіттера, доки не знайшли те, що називали аккаунтом Бога — один панель, яка могла скинути будь-який пароль на платформі. Два підлітки раптом контролювали 130 найвпливовіших акаунтів світу.

ФБР зловило їх за два тижні, використовуючи IP-логи, повідомлення Discord і дані SIM. Вони звинувачуються у 30 кримінальних статтях і їм загрожує до 210 років ув'язнення. Але ось у чому справа — оскільки він був неповнолітнім, він відбув лише три роки у ювенальній в'язниці. Йому було 17, коли він зламав Твіттер. Йому було 20, коли він вийшов на свободу.

А тепер? Грем Іван Кларк — на волі. Свободний. Багатий. Непорушний. Тим часом, X — що стало тим, чим став Твіттер — повністю заповнений тими ж крипто-шахрайствами, що зробили його багатим. Тими ж трюками соціальної інженерії. Тою ж психологією, яка досі працює на мільйонах людей щодня.

Настоящий урок тут — не про злом коду. Це про те, як шахраї зламують людей. Вони використовують терміновість. Вони експлуатують довіру. Вони видають себе за перевірені акаунти. Вони надсилають вас на фальшиві сторінки входу. І це працює, бо страх, жадібність і довіра — це справжні вразливості, а не системи самі по собі. Грем Іван Кларк довів, що вам не потрібно ламати інфраструктуру, якщо ви можете обдурити людей, які її керують. Ось справжній злом.