推特CEO的账户被黑!这个可怕的简单技术让劫持无处不在

互联网
推特CEO的账户被黑!这个可怕的简单技术让劫持无处不在
麻省理工科技评论 2019-09-02

2019-09-02

当地时间8月30日下午,拥有 420 万粉丝的Twitter(推特) CEO 杰克·多尔西(Jack Dorsey)的个人推特账号疑似被黑
Twitter 技术 黑客
当地时间8月30日下午,拥有 420 万粉丝的Twitter(推特) CEO 杰克·多尔西(Jack Dorsey)的个人推特账号疑似被黑

当地时间8月30日下午,有追随者发现,拥有 420 万粉丝的Twitter(推特) CEO 杰克·多尔西(Jack Dorsey)的个人推特账号疑似被黑,这些黑客获得了该帐户的访问权限,在Dorsey账号中发布种族辱骂\反犹太主义等敏感信息。这些令人反感的推文上传了大约 10 多分钟,然后被删除。

推特CEO的账户被黑!这个可怕的简单技术让劫持无处不在

图|推特 CEO Jack Dorsey(来源:9to5Mac)

在黑客攻击后大约一个半小时,推特官方发布了相关消息,称 “Dorsey 的账户现在已经安全,并且没有任何迹象表明 Twitter 的系统已遭到入侵。”

“在移动提供商的安全监督下,与该帐户相关的电话号码遭到了损害,”推特官方@TwitterComms 在当晚的一份声明中表示,“允许未经授权的人通过电话号码的短信撰写和发送推文,这个问题现在已经解决了。”

与此同时,推特官方拒绝透露移动服务提供商的名称,也并未详细说明这次黑客入侵的详细过程和解决方案。

但是外媒报道引述知情人士表示,由于黑客利用 Dorsey 账户转发与“Chuckling Squad”相关的推文,并且 Dorsey 账户中发布的不良信息来源均显示 Cloudhopper,其认为入侵方式可能和推特早前收购的一个叫做“Cloudhopper”的 SMS 平台有相关联系,也就是说,黑客是通过这一平台入侵 Dorsey 推特账户的。

关于黑客入侵 Dorsey 推特账户的流程,科技网站 The Verge 对此进行详细的报道。首先,黑客会通过推特的文本进入到推特的服务和发布,有点类似 IFTTT 那种自动化发布形式,使用 Cloudhopper,黑客通过注册电话链接推特账户等方式,将消息发送到短消息号码(通常为 40404)来发布推文,系统只需要确认这个账户和电话号码绑定是同一个就可以,而黑客利用电话号码可以转移的漏洞,控制对应的电话号码,将不良的推文信息发布到他(Dorsey)的账户。

其实这个技术并不高超,甚至可以说是简单至极。几年前,微博也开通短信发布微博内容的相关服务,通过运营商的方式,免费发布短信内容到微博上,只需要相关连接即可,对于网络极差或者是非智能机的用户来说,这是发布社交信息非常有用的技巧之一。

推特CEO的账户被黑!这个可怕的简单技术让劫持无处不在

图|推特官方发布的警示消息(来源:推特官方)

事实也是如此,控制 Dorsey 的电话号码并不像你想象的那么难。根据推特官方早前发布声明表示,运营提供商安全意识薄弱是这一次黑客入侵的原因之一,这种入侵方式也被称为 SIM 黑客攻击,基本上就是说服运营商,或者是通过入侵运营商方式,将 Dorsey 的电话号码和短信收发转移到黑客控制的新手机上,而这种形式更常被用来窃取比特币或者是 Instagram 广告中,这种入侵攻击技术既简单,又可怕。

对于更多的普通人来说,这种防御手段一般就是在运营商账户中添加 PIN 码或者是通过虚拟电话号码注册推特、Facebook 等网络账户等手段来保护自己。但是,这些方法并不是十分有效,毕竟,黑客比你想象的要可怕很多,正如 Dorsey 所遇到的那样,这种黑客入侵的工作频率非常高。

而且,Dorsey 的推特账户不是第一次受到此类攻击。2016 年,黑客利用了推特授权的第三方应用插件进入,向 Dorsey 等账户发送推文发布许可。当时,推特方面采取了锁定方式暂停了相关账号的发布工作。随着 SIM 转移和交换技术的发展,之前的技术变得更古老很多,但黑客最终的目的,也就是破坏对应目标推特账户的目标基本没有改变。

尽管推特官方及时制止了黑客的行为,但这一事件让推特公司感到尴尬,不仅仅是黑客入侵其公司首席执行官账户,更是因为安全事件让推特敲响警钟,普通网民对于推特平台安全性的质疑声甚嚣尘上,对于推特公司来说,这是一次重大失败,其影响超出以往。

The Verge 评价称,希望推特能够从该事件中吸取教训,并优先考虑更强的安全性,甚至需要将推特账号验证从短信单一性转移,但考虑到该公司最近的业绩记录和内部调整,用户仍需要屏息以待推特官方进一步的保护措施。


麻省理工科技评论

From Tech to Deeptech