大数据文摘出品
编译:牛婉杨
特朗普的推特可以说是他直接向民众传递信息的通道了。不过,据安全研究人员称,特朗普的密码安全性非常弱。
不久前,一名荷兰安全研究员成功登录了美国总统唐纳德·特朗普的Twitter账户,特朗普可是在Twitter拥有8700万粉丝的活跃用户。然而,据研究人员称,他密码的安全性非常弱,很容易被猜到,而且他没有使用两步验证。
研究人员Victor Gevers可以看到特朗普的个人信息,可以用他的名字发布推文,甚至还可以更改他的资料。
Gevers进入特朗普账户后的屏幕截图。图源:Vrij Nederland
荷兰的这位安全员特意去提醒了特朗普和美国政府部门注意安全泄露。几天后,驻荷兰的美国特勤局联系了他。该机构还负责美国总统的安全,并认真对待该报告。与此同时,特朗普的账户加紧了安全防范。
这已经不是黑客第一次黑进唐纳德·特朗普的Twitter账户了。
第一次是在四年前,就在2016年大选前夕,三名黑客联手检索了特朗普的密码并进入了他的账户。现在有人再次成功了,这是值得注意的。在前几届总统选举中,俄罗斯黑客曾试图大规模影响选举。随后,社交媒体采取了各种措施来防止操纵。
同样距离总统选举只有三周的时间,俄罗斯和伊朗也有黑客入侵成功。显然,特朗普的Twitter账户是全球黑客的共同目标。Twitter拒绝公开回应,称他们从未对个人账户的安全措施发表评论。
安全公司Hunt & Hackett的创始人Ronald Prins是荷兰最知名的安全专家之一,他说:“我认识Gevers已经好几年了。他以致力于发现bug而被众人所知,并且总是采取一种非常道德的态度来做这件事。根据我所了解和看到的情况,他的说法似乎可信。”
2016年的黑客:5次试出特朗普推特密码
Gevers也是2016年登录特朗普账户的三名黑客之一。
“我们这么快就能再次成功,这是没有计划的,”他谈到行动的准备工作时说。再次攻击特朗普账户的原因是美国对亨特·拜登(Hunter Biden)的报道。据推测,美国总统候选人乔·拜登的儿子的一个硬盘被盗或被黑客入侵,这也是因为拜登使用了一个容易被猜到的密码(Hunter02)。Gevers对泄露的旧密码数据库很熟悉,并搜索了亨特·拜登的数据。分析了这些旧数据库后,他觉得这些信息是不正确的。亨特·拜登使用了其他密码。Gevers:“我看得出那不是他的密码。”
这让他有了检查Twitter认证账户安全性的想法。他检查了美国前国家安全顾问Susan Rice和乔·拜登(Joe Biden)的账号,也看了看唐纳德·特朗普的。他说,我的工作就是寻找安全漏洞。
周五早上,Gevers几乎是心不在焉地尝试了许多密码及其变体。在第五次尝试时:竟然对了!他试着“maga2020!(make America great again的缩写),然后突然发现自己成功进入了特朗普的Twitter账户。他自己都目瞪口呆。Gevers:“在四次失败的尝试之后,我以为会被禁止登录,或者至少会被要求提供额外的信息。”结果这些都没有。
在那个周五的早上,Gevers进入了一个可能是世界上最重要的Twitter账户,并且能够向8700万人、关注此事的世界媒体和政府领导人发送信息。Gevers:“我确实想过‘我们又来了’。”
黑客为总统的密码安全操碎了心
毕竟,入侵一个账户是非法的。如果Gevers想要清楚地表明他的行为是出于良好的意图,他必须负责任地进行并记录他的步骤,他需要截图。然后他给唐纳德·特朗普发了一封电子邮件——“我还有他的旧电子邮件账户”——并给美国数字安全组织发送了一份副本。他好心地建议特朗普采取额外的安全措施。或者使用一个稍微长一点的密码。Gevers甚至给出了一个修改密码的建议:“!IWillMakeAmericaGreatAgain2020!”并添加了激活两步验证的说明。“但是我没有得到回复。”
所以,他试图警告其他人。特朗普的竞选团队,他的家人。他通过Twitter发信息,询问是否有人会提醒特朗普注意他的Twitter账户不安全这一事实。他给中央情报局,白宫,联邦调查局,Twitter自己贴上标签。但是都没有回应。
Gevers:“然后在周六,我突然看到该账户的两步验证被激活了。两天后的一个晚上,他收到了美国特勤局的一封电子邮件。“他们对我提供的信息感兴趣,我把一切都转发给了他们。周二,他们在线上回复了Gevers。他们感谢Gevers,告诉他他们并不知道这次泄露事件。这还是给安全研究人员留下了许多疑问:“为什么来自不同时区的人可以登录这么重要的账户?”为什么Twitter不要求更安全的密码认证?如果我可以进入他的账户,那么其他国家的黑客也可以进入,对吗?当有人报告说总统的账号不安全时,为什么本应该保护总统的人没有被告知?”
特朗普的账户密码简单得惊人
Secura的安全研究员Matthijs Koot也惊讶于Gevers接管特朗普的账户是多么容易。“直白地说,到2020年,那些仍然忽视网络安全基本建议的人,对他们自己和周围的人都是一个潜在的危险。”
据Koot称,这些风险也会影响其他人。“如今,我们之间的联系越来越紧密,这意味着黑客攻击一个人的账户或电脑可能也会破坏其他人的隐私和安全。”毕竟,通过特朗普的账户,你还可以看到发给他的私人信息,或者把含有恶意软件的链接或虚假登录页面介绍给其他人。这就面临着一个问题:在采取额外安全措施时,Twitter能负怎样的责任?Koot:“他们要么应该强迫用户使用额外的认证,要么让用户使用复杂的密码,如果用户真的不想这样做的话。只用一个安全性弱的密码登录的日子已经一去不复返了。”
Twitter对此拒绝回应。
不过关于为什么特朗普会使用如此弱而简单的密码。Gevers给出了一个可能的解释:“特朗普已经70多岁了,老年人经常会因为觉得两步验证太复杂而关闭它。比如我自己的母亲。对于年轻一代来说,数字安全更加不言而喻。”
相关报道:
https://www.volkskrant.nl/nieuws-achtergrond/dutch-ethical-hacker-logs-into-trump-s-twitter-account~badaa815/?referrer=https%3A%2F%2Fslash
【本文是51CTO专栏机构大数据文摘的原创译文,微信公众号“大数据文摘( id: BigDataDigest)”】