随着近期几大重要媒体Twitter账户被盗,越来越多的公司开始推行双因素认证加强账户安全管理,Twitter随即也加入其中。
Twitter计划在用户账户的设置页面上添加一个复选框,在登录Twitter账户前,用户一旦选中该复选框,一条包含认证码的短消息便会发送至用户指定的手机号。这项功能实现的前提是用户的手机运营商能够支持该功能。
Twitter的安全团队经理Jim O’Leary在其发表的一篇博客上提到:“增加登陆验证步骤,并不妨碍用户当前使用的应用程序继续运行。”
“如果用户要在其他设备或应用程序上登录Twitter帐号,可以访问其应用程序页面,生成一个临时密码,然后以此密码来登录账户并验证该应用程序。”
随着一个自称为叙利亚电子军(SEA)的黑客组织对媒体社交帐号的系列攻击,安全问题对Twitter而言变得异常敏感。该黑客组织在过去几个月中陆续入侵了多家媒体账户,并通过这些账户策划多起恶作剧事件以达到为其宣传的目的,对社交安全造成了一定威胁。
如叙利亚电子军曾入侵美联社帐号并发布了一条虚假消息谎称白宫遭到恐怖袭击,从而造成道琼斯工业指数暴跌。其他黑客攻击还包括对路透社(已多次遭袭)、法新社、BBC和半岛电视台的帐号入侵,因此Twitter不得不向黑客组织发出警告。然而,洋葱新闻也难以幸免的被黑了。
媒体调侃黑客攻击
与其他媒体不同,洋葱新闻(The Onion News)发布了此次被黑的全部细节过程,还给出了如何防止此类事件发生等相关建议。据该媒体的技术支持团队说明,黑客是通过对其员工的谷歌帐号进行三方攻击的。
该技术团队告诉我们,首先黑客给洋葱新闻的员工发送电邮,这些邮件的内容显示“请认真阅读以下重要文章,”后面跟着一个看上去是华盛顿邮报的链接地址。这些邮件并非一次性发给所有的员工,而是分步骤进行,慢慢渗入。
首先有一名员工上钩(总会有一名员工上当),其账户被黑后,该邮件随即通过其账户转发给更多员工。由于邮件来自同事的邮箱,其他员工并不对邮件的可靠性表示怀疑,因此又有两名员工被成功钓鱼,而其中一位拥有社交媒体的帐号密码。
在发现第一轮攻击之后,洋葱新闻的技术团队立即给全公司发送了一封邮件,提醒每位员工需尽快修改密码。但是在此之前,黑客就已经锁定了一个漏网帐号并通过该帐号来传播钓鱼链接,为进一步造成迷惑,黑客将链接地址伪装成一个密码重置按钮。继而,又有两名员工中枪,其中一位则拥有Twitter账户登录的具体信息。
就此,洋葱新闻编辑团队发布了一系列消息,对此次事件冷嘲热讽,其中一条消息的标题为“叙利亚电子军在被叛军杀死前小小娱乐了一把。”
这种调侃惹怒了叙利亚电子军,他们开始通过洋葱新闻的Twitter帐号发布一系列宣传信息、虚假新闻和常见的反以色列言论。洋葱新闻的IT团队通过分析这些信息,启用了应急机制并对公司每个邮件账户进行强制重设。
不学前车之鉴 重蹈覆辙
尽管有前车之鉴,叙利亚电子军的攻击却屡试不爽,上周每日电讯报和金融时报的社交网络也被黑了。虽然攻击几个重要媒体的社交账户并不代表所有可能的黑客攻击,但熟悉该Twitter项目的人员称这些攻击直接加速了Twitter部署双因素认证的步伐。
Twitter并非首个也不会是最后一个推出双因素认证的网站。双因素认证技术并非阻止黑客攻击的完美解决方案,该技术依然会被黑客破解,但对于阻止一些简单的漏洞攻击而言,这套技术将能够有效保护用户帐号。因此,一些企业应该基于其现有的防护模式,立即部署Twitter双因素认证系统。