全文共2096字,預計學習時長4分鐘
不久前,黑客入侵了推特執行長傑克•多爾西(Jack Dorsey)的推特賬戶,時長約為15分鐘。他們在推特上連發了大量自誇、宣洩、種族誹謗的言論,並引用了表情包,還威脅要對推特總部進行炸彈襲擊,並煽動推特恢復某些被暫停的賬戶。
在推特官網恢復對該賬戶的掌控並刪除這些推文之前,作惡者聲稱自己是一個名為Chuckling Squad的團體,該團體近期還盜取了一系列YouTube明星和演員的賬號。
很顯然,黑客們不僅僅是在多爾西的賬戶上釋出了一些帶有攻擊性的推文,但還沒有直接的證據來證明這一點。如果這就是黑客們的全部行為,那麼這一事件對現實世界的影響是相當小的。(這已經不是多爾西第一次遭受黑客攻擊了。)短暫接管個人的社交媒體賬戶,即使是一個知名度很高的賬戶,也更像是一種輕微的破壞行為,而不是那種涉及滲透公司系統或竊取他人信用卡資訊的更為複雜的黑客行為。
即便如此,當一家大型社交媒體公司的負責人在自己的平臺上被攻擊時,還是有一些值得重視的經驗教訓。基於賬戶被黑的事實,有三個要點需要重視。
1. 檢查你的Twitter應用程式許可權,比如nowish。
隨著黑客的細節不斷被披露,人們發現多爾西賬戶上的推文似乎是通過一項名為Cloudhopper的伺服器釋出的。推特在2010年收購了一家名為Cloudhopper的初創公司,該公司可以在使用者不登入推特的情況下通過手機發送簡訊或文字訊息來發布推文。如果多爾西在某一時刻激活了Cloudhopper,黑客就可以通過他的賬戶釋出資訊,而無需竊取他的推特密碼。還有跡象表明,黑客們是通過SIM被黑的技術獲得了他的手機號碼,而不是推特賬戶本身。
Cloudhopper不是某種隨機的、可疑的第三方應用程式,它很久以前就是推特的一部分。目前還不清楚多爾西是否會通過禁止該服務來阻止黑客攻擊。儘管如此,它還是很好地給人們提了醒,很多使用者的賬戶可能會被多年來授予訪問許可權的各種應用程式和服務入侵——即使使用者們完全忘記了它們的存在,就像多爾西顯然遺忘了Cloudhopper一樣。檢視推特應用程式許可權是一個經久不衰的建議,如果還沒有這樣做的使用者,現在是時候進行這一操作了。如果在檢視過程中發現有任何不認識的,或不完全信任的應用程式,應該立即撤銷它對帳戶的訪問許可權。使用者可以通過https://twitter.com/settings/applications隨時檢視許可權。
2. Sim被黑是一個嚴重的問題。
安全專家對SIM卡被黑的風險發出警告已有時日。對此有更好的解釋,但問題的關鍵是對方能夠讓使用者的手機運營商把使用者的電話號碼轉移到他們自己的SIM卡上。他們可能會假裝成使用者,對運營商噓寒問暖,要麼賄賂內部人員或與其合作來達成這個目的。
一旦黑客們這麼做了,他們實際上偷走的不是手機硬體,而是電話線。這是一個隱患,因為各種保護網際網路帳戶的預設方法是雙重驗證,它通常依賴於對使用者電話線的訪問,以此來證明是使用者本人登陸。因此,如果臉書或推特等應用程式在允許使用者登陸之前向用戶傳送確認碼,這些程式碼將被髮送到竊取該使用者電話號碼的人的手機上。
在這種情況下,電話號碼似乎就是黑客所需要的所有素材,這都要感謝Cloudhopper。安全專家很快就懷疑,多爾西的賬戶遭到黑客攻擊,其中就包括黑SIM的手段,部分原因是Chuckling Squad團體在之前的攻擊中就使用了這個方法。
遺憾的是,使用者無法完全做到保護其SIM卡使其不被黑。但是有一種方法可以改變這個困境,那就是在相關許可權服務中使用谷歌驗證器等身份驗證程式作為雙重驗證,而不是使用電話號碼。(以下是如何在推特上更改雙重驗證設定的具體做法。)使用者還可以採取其他步驟來達到目的,但是實際上,SIM被黑的問題需要在行業層面上才能得以解決。
3. 情況原本會更糟。
推特的執行長賬號被黑看起來很糟糕。但如果是國家總統的賬號被黑的話,情況會更加糟糕,特別是當如果黑客比Chuckling Group團隊更會偽裝自己時,事情會更加棘手。之前某個遊手好閒的推特員工暫時刪除特朗普總統賬號的事件還讓人記憶猶新。如果一個嫻熟又戲精的黑客進入到像特朗普這樣的賬戶,從理論上講,其可以假扮特朗普去釋出推文,影響市場,或者(但願不是這樣)煽動軍事力量,從而造成嚴重破壞。
多爾西多年來一直表示,讓推特變得更安全是其任務的重中之重。儘管黑客們的惡意推文在其推文下方堆積,在推特上承諾要讓這個平臺變得更健康、更文明。或許多爾西本人(再次)遭到黑客攻擊將促使該公司加倍努力地去維護平臺安全。與此同時,推特仍將是所有使用者的潛在弱點——甚至於推特的執行長而言也不例外。
我們一起分享AI學習與發展的乾貨
編譯組:陳曼芳、鮑歆禕
相關連結:
https://onezero.medium.com/three-takeaways-from-the-hack-of-jack-dorseys-twitter-account-e9de7b8614d8