7 月 20 日,据外媒报道,最新黑客攻击曝光了社交媒体巨头推特长期存在的安全漏洞,它始于几乎每个网民都熟悉的过程,即密码重置。研究显示,推特员工可以重新设置用户账户的个人密码,查看个人数据,甚至可以代表用户发送推文。
根据黑客、安全专家的说法,部分通过通常被称为“社会工程”的方式操纵了推特员工,黑客已经能够在用户不知情的情况下更改 45 个账户密码。长达数小时的攻击使黑客得以控制许多知名人物的账户,包括民主党总统候选人乔·拜登(Joe Biden)、特斯拉首席执行官埃隆·马斯克(Elon Musk)等人,实施加密货币敲诈勒索攻击。
根据网络安全专家的说法,这次相对平淡无奇的攻击突显了推特在安全方面面临的持续挑战。在过去的十年里,随着推特从一家快速发展的初创公司成长为网络政治和文化对话的重要组成部分,它一直无法有效地避免网络入侵,这些攻击比几乎所有其他科技机构都更加关键和引人注目。
美国当地时间上周三发生的黑客袭击事件,是与内部人士侵入推特技术有关的第三起主要安全事件。该公司周五晚些时候提到,它正在与立法执法部门合作,坚持研究上周的黑客攻击,并正在探索提高安全性的长期选择。推特在周六的一篇博文中提到:“我们感到十分尴尬,我们不再抱有幻想,我们感到非常抱歉。”
推特在其迄今对此次黑客攻击的最全面描述中提到,黑客操纵了少量员工以进入内部设备。黑客共瞄准了 130 个账户,并重新设置了其中 45 个账户的密码,使他们能够发送推文。黑客还下载了 8 名推特用户的私人信息,推特还没有确定受影响的用户身份,他们通过该平台传输的私人消息可能会被黑客下载。
推特提到,信息下载没有发生在任何所谓的“验证账户”上。对于这些账户,Twitter 采取了额外的措施,将身份超级链接到用户。 该公司提到,黑客可以通过内部工具查看电子邮件地址和手机号码等私人数据。 在黑客下载客户私人信息的情况下,他们可以利用推特提供给用户的软件访问私人消息,以获取这些数据。自那以后,该公司暂停了用户使用该软件的能力。
网络公司 Unit 221b LLC 的首席分析官艾利森·尼克松(Allison Nixon)提到,这次攻击似乎植根于一种互联网亚文化,即黑客在令人垂涎的社交媒体账户中进行交易,特别是那些属于名人的账户,或者在社交媒体早期注册的账户。尼克松女士提到,周五一个名为 OGUsers 的互联网市场出现了 2000 多个对话线程,提供市场上被盗的 Twitter 账户,有些账户的售价达到数万美元。尽管大多数账户都处于休眠状态,且创建它们的人并没有认为它们被接管了。
此次黑客袭击事件始于一天前在 Discord 上出现的在线讨论,Discord 是一种受到狂热游戏玩家和黑客青睐的互联网聊天系统。据一名聊天中的参与者说,一名自称柯克(Kirk)的黑客声称自己是推特的一名工作人员,他可能会进入上述账户。这名参与者称自己对此感到“非常焦虑”。
安全研究员哈西布·阿旺(Haseeb Awan)是安全移动服务公司 Efani 的首席执行官,他提到自己正在与“那些对此感到焦虑”的人沟通,并证实他参与了这起事件。阿旺提到,他通过一名黑客接触了许多 Twitter 账户的卖家,这名黑客曾试图侵入他的个人设备。
在回应“前所未有的焦虑”和网上分享的截图时,柯克声称自己有进入推特内部软件程序的权限,可以帮助用户重新进入他们的账户。除了合同员工,熟悉推特运作的人也会使用这个软件程序。目前还不清楚柯克是否属于推特正式员工,但该公司的账户称,黑客操纵了推特员工。
很快,一家附属公司开始在 OGUsers 讨论板内推广账户,并为柯克提供经纪服务。这位人士提到,根据账户的声誉高低,其出售的账户成本在 500 美元到 1 万美元之间,类似@L的单字母账户显然是无价的。阿旺提到,在这种亚文化中,像马斯克这样的高调账户的现金价值可能真的远低于@L。
顾客将用比特币支付费用,并提供一个电子邮件账号,柯克会将其添加到推特设置中。这位自称“非常焦虑”的人在一次互联网聊天中提到:“用户随后会重新设置账户密码,并实现进入,因为密码在他们的电子邮件账号上,柯克已经修改了密码。”
有些被攻破的账户开始发推文要求比特币捐款,并承诺将所有捐款翻一番。根据区块链评估公司 Chainalysis 的数据,诈骗者获得了 500 多笔资金转移,总额超过 12.1 万美元。
加密货币交易公司 Binance 观察到,在黑客在其用户名下方发布推文之前 30 分钟,其账户电子邮件处理被修改为可疑处理。Binance 的发言人表示,无论是否启用了双重身份验证,它都没有从推特获得电子邮件更改的通知。上述那位“非常焦虑”的人提到,他只撮合了休眠账户交易,没有任何账户属于活跃用户,他也没有参与比特币敲诈。
在过去几年里,低层员工特别容易受到外部关注的影响,他们可以进入推特的问题又出现了。考虑到社交媒体平台的影响,安全供应商 Altitude Networks 的首席执行官迈克尔·科茨(Michael Coates)提到:“事实是,工作人员和内部设备都受到了关注,这可能只会加强一件事。”科茨在 2018 年之前始终担任 Twitter 的首席数据安全官。
科茨的继任者是迈克·科普蒂诺(Mike Convertino),他于去年 12 月离开公司。推特尚未填补科普蒂诺留下的空白,这意味着该公司已经有大约七个月没有首席数据安全官了。首席数据安全官是抵御网络攻击的最高级别高管。虽然通常与 Facebook 对比,但推特用于安全方面的资源要少得多,员工只有 Facebook 的十分之一,年收入只有后者的5%。推特每天有 1.66 亿客户,相比之下,Facebook 的日活跃用户超过 20 亿。
2009 年 1 月,黑客控制了当时当选总统巴拉克·奥巴马(Barack Obama)的推特账户,并发送了一条消息,向当时超过 15 万名追随者提供 500 美元的免费汽油。联邦贸易委员会(FTC)调查发现推特的数据安全存在“严重失误”,几乎没有对公司员工可能做的事情进行控制。FTC 发现,任何员工都可以重新设置个人密码,查看个人数据,甚至可以代表客户发送推文。
自那以后,推特增加了网络检查和身份验证,以防止外部人员访问内部技术。此外,它还推出了一项“再认证”计划,在整个过程中,推特经理每季度向员工授权,员工只能访问他们真心想要的工作资源。
不过,中层员工未经授权进入个人账户或信息的问题一直存在。去年,联邦检察官指控两名前推特工作人员充当外国政府特工,在社交媒体平台上监视一些批评沙特政府的人,并向利雅得提供非公开数据。2017 年,一名在推特工作的承包商短暂停用了特朗普总统的账户。
乔治敦学院法学教授、前联邦贸易委员会官员大卫·弗拉德克(David Vladeck)提到,最新的事件可能会吸引监管机构的关注。他提到:“这看起来令人震惊。”FTC 的一位女发言人提到,该公司没有触及是否需要调查的具体问题。
上周,推特及其运营平台的压力加大。密苏里州共和党参议员乔希·霍利(Josh Hawley)周五给多西写了一封信,询问有关黑客攻击的更多细节,以及该公司到目前为止是否考虑过额外严格的访问管理措施,为何没有实施这些措施。FBI 正在调查到底发生了什么。