主页 > S生活墙 >Twitter CEO 多西的 Twitter 帐号被骇,骇客只运用简单的 SI >

精选文章


随机推荐


Twitter CEO 多西的 Twitter 帐号被骇,骇客只运用简单的 SI


2020-06-09


Twitter CEO 多西的 Twitter 帐号被骇,骇客只运用简单的 SI

8 月 30 日,Twitter 创办人兼执行长多西(Jack Dorsey)的官方 Twitter 帐号遭骇客攻击,他的 Twitter 充斥种族歧视字眼、反犹太言论和具攻击性的内容,震惊了他的粉丝。这次骇客攻击似乎来自上週攻击 YouTube 名人 Twitter 帐号的同一组织,受攻击名人包括美妆影片部落客詹姆士‧查理斯(James Charles)、美国网红始祖谢恩‧多森(Shane Dawson)及喜剧演员金巴赫(King Bach)。

30 日下午,Twitter 大家长多西的 420 万 Twitter 追随者收到令人不快的惊吓推文。一群网路破坏者获得帐号的存取权限,并使用权限为他们团队的 Discord 语音频道爆发一系列令人反感的讯息和外挂程式。

15 分钟内,帐号重新受到控制,而攻击团队被 Discord 禁用,但事件提醒人们,即使是最知名的帐号也可能有严重的安全漏洞,以及电话身分验证的不安全性。

骇客是透过 Twitter 的文字转推文(text-to-tweet)服务骇入帐号,而文字转推文服务目前由 Twitter 收购的 Cloudhopper 负责营运。使用 Cloudhopper,Twitter 使用者就可透过将简讯经由一组短码数字(通常是 40404)发推。这对简易型手机(例如没触控萤幕的功能手机)来说是很有用的技巧,或使用者无法存取 Twitter 应用程式时。

此系统只需要将电话号码连结到 Twitter 帐号,这点大多数使用者早已基于不同的安全理由这幺做了。因此,只要控制你的电话号码,通常就足以用你的帐号发推,且大多数用户并不知情。

骇客用的是资安界早已熟悉的攻击手法,之前多西帐号就被骇过

事实证明,控制多西的电话号码并不像你想像的难。根据 Twitter 官方声明,供应商的「安全监管」让骇客获得控制权。一般来说,这种攻击被称为 SIM 卡入侵攻击(SIM Hacking),基本上就是说服电信商将多西的电话号码分配给骇客控制的新手机。

这并不是新技术,儘管更常用来窃取比特币(Bitcoin)或高价值通用所有社交平台的 Instagram 统一帐号(IG handle)。通常,这就和输入洩漏的密码一样简单。你可以透过在电信商帐号新增个人识别码(PIN)或使用假电话号码来注册 Twitter 等网路帐号来保护自己,但这些技术对一般使用者来说要求太高了。因此,SIM 卡盗换已成为线上麻烦製造者最喜爱的技术之一,正如我们今天发现的,氾滥程度比你想像更高。

任何让用户更容易发推的系统,也会让骇客更容易控制帐号。2016 年,多西也遭遇类似攻击,充分利用授权的协力厂商外挂程式,这些外挂程式经常开发中止被弃用,但仍保留可发推至帐号的许可权。随着 SIM 卡盗换技术被广泛理解,这种技术不那幺突出,但偷渡式(Drive-by)恶意攻击的基本目标并没有太大改变。

儘管如此,这个事件着实令 Twitter 颜面无光,原因不仅在于正急于夺回 CEO 帐号的控制权,毕竟整个资安界多年来早就知道 SIM 卡盗换攻击的手法,且多西帐号也曾遭骇入。未能确保执行长帐号控制安全的简单疏忽,对 Twitter 无异是重大失误,影响远不只几分钟的混乱而已。希望 Twitter 能从这次事件汲取教训,优先加强安全措施,甚至可将 Twitter 的简讯验证机制移除。



上一篇:
下一篇: