Twitter史上最大安全漏洞:多個賬戶被黑,原因竟出自比特幣釣魚騙局
針對上週早些時候,黑客針對Twitter內部員工進行比特幣釣魚騙局,以獲取對賬戶的訪問權限後,多個知名人士的賬戶遭到了黑客攻擊。“攻擊者成功操縱了少量員工,並使用其憑據訪問Twitter的內部系統,包括通過雙因素保護機制。”此起事件被稱為該公司史上最大的一起安全漏洞。
Twitter發布完整博客透露了被入侵的賬戶信息,其中包括美國本屆民主黨總統候選人Joe Biden、前總統巴拉克·奧巴馬(Barack Obama)、特斯拉(Tesla)CEO埃隆·馬斯克(Elon Musk )、微軟聯合創始人比爾·蓋茨(Bill Gates)、坎耶·韋斯特(Kanye West)、邁克爾·彭博(Michael Bloomberg)等。
截圖自奧巴馬賬號此前發文:所有發送至我賬戶的比特幣,將雙倍奉還。打1000美元,我會返還2000美元。
據Twitter官方描述,黑客可直接看到並下載這些賬戶的數據檔案,如電話號碼、電子郵件、私人直接消息(DM)。而且,黑客可能甚至還能獲取到這8個賬戶試圖刪除的DM,因為只要對話任意一方將DM存儲在其服務器上,Twitter就會在其服務器上存儲DM。這些消息,可以包含其他個人信息如地址、圖像、視頻等。
不過,好消息是,Twitter聲稱這8個賬戶沒有一個是經過驗證的賬戶。這意味著,8個賬戶實際所代表的個人沒有在賬戶上透露個人信息。
Twitter還表示,黑客最初鎖定了130個目標賬戶,成功從其中的45個賬戶成功觸發密碼重置,並登錄發表推文。最終,黑客僅嘗試下載了最多8個未經驗證賬戶的數據。“我們不可能知道黑客究竟掃描了多少個賬戶來查找個人信息,也不知道他們可能僅訪問或閱讀了這些私人消息。”
目前,Twitter給出了解決措施是,鎖定(130個)所有已驗證的賬戶訪問權限。未來計劃在恢復這些被鎖定的賬戶後,與執法部門繼續進行調查,加強安全機制,以及對員工內部的安全培訓。
事件發生後,有媒體稱,此次Twitter受攻擊事件將為11月的美國總統大選敲響警鐘。而在美國民眾了解可以通過視角媒體輕鬆操縱選舉的四年之後,該國仍未有相對完善的保護措施。Twitter應該清楚地意識到,將來很可能再次成為攻擊目標,並為各種突發事件做好準備。
而據紐約時報披露,此次攻擊最初是三名年輕黑客的惡作劇。該攻擊始於一個名為“Kirk”的用戶,他向兩名少年吹噓自己可以訪問知名人士賬戶。另外兩名為“lol”和“ever so sear”的少年承認參與黑客攻擊。而關於“Kirk”的身份仍一無所知。
據了解,英國21歲著名黑客JosephO’Connor被指控為此次Kirk的真實身份,但無確鑿證據。