7月20日,据外媒报道,最新的黑客攻击暴露了社交媒体巨头推特长期存在的安全漏洞。它始于几乎每个互联网用户都熟悉的过程,即重置密码。研究表明,推特员工可以重置用户账户的个人密码、查看个人数据,甚至可以代表用户发送推文。 据黑客、安全专家称,黑客通过通常所说的“社会工程”部分地操纵Twitter员工,已经能够在用户不知情的情况下更改45个帐户密码。长达数小时的攻击让黑客控制了许多知名人士的账户,包括民主党总统候选人乔·拜登、特斯拉首席执行官埃隆·马斯克等人,实施加密货币勒索攻击。 根据网络安全专家的说法,相对不起眼??的攻击凸显了Twitter在安全方面面临的持续挑战。在过去的十年中,随着Twitter从一家快速发展的初创公司发展成为在线政治和文化对话的重要组成部分,它在避免网络入侵方面的效果却不如几乎任何其他技术机构都更为关键和引人注目。 上周三发生在美国的黑客事件是第三起与内部人员入侵推特技术相关的重大安全事件。该公司周五晚些时候提到,它正在与执法部门合作,坚持研究上周的黑客攻击,并正在探索提高安全性的长期方案。“我们深感尴尬,我们失望了,我们非常抱歉,”推特周六在一篇博客文章中说。提到黑客操纵少数员工获得对内部设备的访问权限。黑客一共锁定了130个账户并重置了其中45个的密码,允许他们发送推文。黑客还下载了8名Twitter用户的私人信息。推特尚未确定受影响的用户,他们通过该平台传输的私人信息可能已被黑客下载。 推特提到,信息下载并没有发生在任何所谓的“已验证帐户”上。对于这些帐户,Twitter采取了将身份超链接到用户的额外步骤。该公司提到,黑客可以通过内部工具查看电子邮件地址和手机号码等私人数据。如果黑客下载了客户的私人信息,他们可以使用Twitter为用户提供的软件来访问私人信息以获取该数据。此后,该公司暂停了用户使用该软件的能力。 网络公司Unit221bLLC的首席分析官AllisonNixon表示,这次攻击似乎植根于互联网亚文化,在这种文化中,黑客使用令人垂涎的社交媒体账户进行交易,尤其是那些属于名人的账户,或者那些在早期注册的账户。社交媒体的日子。尼克松女士指出,周五在一个名为OGUsers的互联网市场上弹出了2,000多个对话线程,在该市场上提供被盗的Twitter帐户,其中一些售价数万美元。尽管大多数帐户处于休眠状态,创建它们的人并不认为它们已被接管。 黑客攻击始于一天前关于Discord的在线讨论,Discord是一个深受游戏玩家和黑客青睐的互联网聊天系统。据聊天参与者称,一名自称柯克的黑客声称自己是Twitter员工,可能已经获得了该账户的访问权限。参与者说他对此感到“非常焦虑”。 安全研究员、安全移动服务公司Efani的首席执行官HaseebAwan提到他正在与“对此感到焦虑的人”交谈,并证实他参与了这起事件。阿旺提到,他通过一名试图侵入他个人设备的黑客联系了许多推特账户的卖家。 回应“前所未有的焦虑”和网上分享的截图,柯克声称可以访问推特的内部软件程序,该程序可以帮助用户重新获得对他们账户的访问权。除了合同工外,熟悉Twitter工作原理的人也使用该软件程序。目前尚不清楚柯克是否是Twitter的正式员工,但该公司的账户称黑客操纵了Twitter员工。 很快,一家关联公司开始在OGUsers讨论区推广帐户,并为柯克提供经纪服务。该人士提到,根据帐户的声誉,它出售的帐户成本在500美元到10,000美元之间,而像@L这样的单字母帐户显然是无价的。阿旺提到,在这个亚文化中,像马斯克这样的高知名度账号的现金价值可能真的比@L低很多。 客户将使用比特币支付并提供一个电子邮件帐户,Kirk会将其添加到他的Twitter设置中。这位自称“非常焦虑”的人在网络聊天中说:“用户随后会重置他们的帐户密码并获得访问权限,因为密码在他们的电子邮件帐户中,而柯克更改了密码。 一些被入侵的账户开始在推特上发布比特币捐款,承诺将所有捐款翻倍。据区块链评估公司Chainalysis称,诈骗者获得了500多笔资金转移,总额超过12.1 加密货币交易公司Binance观察到,在黑客以其用户名发布推文前30分钟,其账户的电子邮件处理被修改为看起来可疑.身份验证,都没有收到来自推特的电子邮件更改通知。上面提到的那个“很着急”的家伙说,他只是撮合了休眠账户的交易,没有一个账户属于活跃用户,他没有参与比特币勒索。 关于访问推特的问题再次浮出水面-在过去几年中特别容易受到外界关注的级别员工。考虑到社交媒体平台的影响,安全供应商AltitudeNetworks首席执行官迈克尔迈克尔科茨说:“关注员工和内部设备的事实可能只会加强一件事。科茨曾担任Twitter的首席数据安全官直到2018年。 Coates被12月离开公司的MikeConvertino取代。剩下的空缺,意味着公司已经有大约七个月没有首席数据安全官了。首席数据安全官是最资深的防御网络攻击的执行官。虽然经常与Facebook进行比较,但Twitter用于安全Twitter的资源要少得多,只有十分之一的员工和Facebook年收入的5%。与Facebook相比,Twitter每天有1.66亿客户morethan2billiondailyactiveusers. InJanuary2009,hackerstookcontroloftheTwitteraccountofthen-President-electBarackObamaandsentamessageoffering$500infreeg至于当时他的追随者超过150,000人。FTC)调查发现Twitter的数据安全存在“严重失误”,几乎无法控制公司员工的行为。FTC发现任何员工都可以重置个人密码、查看个人数据,甚至可以代表客户发送推文。 Twitter自此添加了网络检查和身份验证,以防止外部人员访问内部技术。此外,它还推出了一项“重新认证”计划,在该计划中,Twitter经理每季度授权员工只访问他们真正想要的工作资源。 尽管如此,中层员工仍存在未经授权访问个人帐户或信息的问题。去年,联邦检察官指控两名前推特员工充当外国政府代理人,在社交媒体平台上监视沙特政府的一些批评者,并向利雅得提供非公开数据。2017年,一位为Twitter工作的承包商曾短暂地暂停了特朗普总统的账户。 最近的事件可能会引起监管机构的注意,乔治城大学法学教授、前联邦贸易委员会官员戴维·弗拉德克(DavidVladeck)说。“这看起来令人震惊,”他说。美国联邦贸易委员会发言人表示,该公司没有触及需要调查的具体问题。 推特及其运营平台的压力在上周愈演愈烈。参议员JoshHawley(密苏里州共和党众议员)周五致信Dorsey,询问有关黑客攻击的更多细节,以及该公司是否考虑过更严格的访问管理措施,以及为什么这些措施没有实施。联邦调查局正在调查发生的事情。
