写点什么

Twitter 不安全,自家老板中招

  • 2019-09-03
  • 本文字数:1806 字

    阅读完需:约 6 分钟

Twitter不安全,自家老板中招

摘要:

我们喜欢社交媒体,使用很多社交媒体应用,比如 Facebook、Twitter、微信和微博等。在网络上,社交媒体账号是我们的代言人,因此账号安全相当重要。近日,Twitter CEO 杰克·多西的推特账户被黑,连续发布多条种族主义言论,引起广泛关注。问题或许在于 Twitter 的设计是不安全的。



据外媒 Securityaffairs 报道,Twitter CEO 兼联合创始人杰克·多西的推特账户遭黑客入侵。黑客在控制该账户后,利用这个账号发布多条攻击性和种族主义的推文。


关于此事详情,可以查看笔者前篇文章《Twitter CEO 杰克·多西的推特账号被黑,黑客是如何得手的?》


对杰克·多西来说,这种事情并不是第一次。2016 年,一群名为 OurMine 的黑客对杰克·多西进行了类似的攻击,允许他们在杰克·多西的推特账号上发帖。这个黑客团体曾经还接管了谷歌 CEO 桑达尔·皮查伊、Facebook CEO 马克·扎克伯格的社交媒体账号。


黑客利用 SIM 卡交换攻击,欺骗电信运营商,将用户的手机号码转移到犯罪分子的 SIM 卡上。一旦犯罪分子控制用户的手机号码,就能用它重置受害者的密码并登录他们的在线账户。通过控制杰克·多西的电话号码,黑客通过短信直接将推文发到他的推特账号上。


从另一个方面看,黑客屡次成功实施 SIM 卡交换攻击,或许在于 Twitter 的自身设计是不安全的。这话怎么说?


一篇《Twitter is Insecure by Design - Just Don’t Tell the President》的文章指出,Twitter 的产品设计是不安全的,其安全模型存在严重缺陷。 

Twitter 的安全模型存在严重缺陷

随着我们安全意识和隐私意识的增强,像双因素身份验证和安全钥匙等新的安全方式开始出现。当前,双因素身份验证已经是大多数人进入网站登录选项的核心部分,Twitter 就是其中之一。


当我们启用双因素身份验证时,除了密码,我们还指定了另一种身份识别方法。在过去,选择的第二个身份验证因素是 SIM 消息。如今,由于被称为 SIM 卡交换攻击的网络安全漏洞,SIM 消息不再受到欢迎。


现在,我们青睐更聪明的解决方案——最智能的解决方式是安全钥匙。安全钥匙是我们可以随身携带的专用硬件设备,将它插入我们的电脑用来证明是我们在登录而不是一些随机出现的攻击者。

Yubikey 是安全钥匙中的劳斯莱斯 让我们用它锁定 Twitter


我非常喜欢那些能提高安全和隐私的任何东西。所以,当我使用Yubikey 5 NFC保护我的推特账户时,我非常失望,因为 Twitter 并不真正支持安全钥匙。


如果尝试使用安全钥匙(例如 Yubikey)保护你的 Twitter 账户,会出现一些问题: 



当你在 Twitter 账户上启用双因素身份验证(2FA)时,Twitter 会坚持要求你注册手机。好,这是标准的方式,没有问题。这会成为第一种双因素身份验证——SMS 消息。


接下来,Twitter 会为你提供扩展双因素身份验证的选项,包括安全钥匙。两种双因素身份验证方式比一种方式好,尤其这种方式是 SMS 短信时。但是,这就是问题所在。


现在,你在账户中定义了安全钥匙,但需要禁用 SMS 消息。由于 SIM 卡交换攻击,SMS 消息是一种根本不安全的验证方法。因此,我们不想要 SMS 身份验证,我们更喜欢安全钥匙。

Twitter 的双因素身份认证选项,包括 SMS 消息

作为一种验证方法,Twitter 不会让你禁用 SMS 消息。你无法禁用它。如果你优先视安全钥匙认证为首选双因素身份验证方式,而不是 SMS 消息,那结果不会很坏。现在的情况是,你不能。


SMS 是默认设置,因此即使你在账户中启用安全钥匙,Twitter 也不会使用它。它会自动向你发送 SMS 身份验证消息。这真是“唱反调”。 


Twitter 双因素身份验证—SMS 或没有

当你尝试禁用 SMS 作为双因素身份验证方式时,它会禁用双因素身份验证。因此,即使已经使用专用安全钥匙保护 Twitter 账户,你在 Twitter 上进行双因素身份验证的选项是“SMS 身份验证”或“没有”。



Twitter 手机 APP 根本不支持安全钥匙,一点儿都不支持。这就是 Twitter 设计不安全的原因。


作为全球知名社交媒体应用,Twitter 用户超过 5 亿,日活跃用户数 1.26 亿。如果 Twitter 的自身设计不安全,那么意味着数亿用户账户均存在潜在的安全风险。作为一般网民,Twitter 账户被盗,乱发一些推文,影响还不是很大。如果是知名人物,那后果就很严重了。比如美国总统特朗普。特朗普在 Twitter 上有 6385 万粉丝,入驻白宫后,他一直勤于发推文,以致有人用“推特治国”来形容他。


相关文章:


https://www.smesecurity.com.au/blog/2019/8/22/twitter-is-insecure-by-design-just-dont-tell-the-president


2019-09-03 14:593004

评论

发布
暂无评论
发现更多内容

世界读书日!边阅读边做笔记,这个一站式知识梳理软件太酷了吧!

彭宏豪95

AI 思维导图 阅读 在线白板 AIGC

英特尔发布新一代神经拟态系统Hala Point,11.5亿神经元,12倍性能提升

E科讯

英特尔与生态伙伴紧密合作,OPS 2.0标准助力智慧教育再升级

E科讯

定时任务中的哪些事?

算法的秘密

手动给docusaurus添加一个搜索

程序那些事

人工智能 程序那些事 openai 工具技巧

鸿蒙HarmonyOS实战-ArkUI组件(List)

蜀道山

鸿蒙 HarmonyOS 鸿蒙开发 鸿蒙系统

C++ 类方法解析:内外定义、参数、访问控制与静态方法详解

小万哥

程序人生 编程语言 软件工程 C/C++ 后端开发

GreatSQL 死锁案例分析

GreatSQL

区块链的原理、技术、应用领域

天津汇柏科技有限公司

区块链

【论文速读】| GPTFUZZER:利用自动生成的越狱提示对大型语言模型进行红队测试

云起无垠

小程序生态是更灵活构建超级App的方式

FinFish

小程序生态 小程序容器 超级app

鸿蒙HarmonyOS实战-ArkUI组件(mediaquery)

蜀道山

鸿蒙 HarmonyOS 鸿蒙开发 MediaQuery

前端代码规范 - 编辑器&代码风格

南城FE

前端 代码质量 代码规范 代码配置

Task01:初识数据库与SQL-天池龙珠计划SQL训练营

阿里云天池

阿里云

GPT-5发布时间确定!全面训练、更强推理能力!

蓉蓉

人工智能 openai ChatGPT

IM即时通讯软件,WorkPlus私有化部署全面支持信创环境

BeeWorks

云原生与ChaosMeta

ChaosMeta

人工智能和机器学习(AI/ML)在软件测试中的应用

Geek_e575df

PrismNET为什么会一直是最受欢迎的DAPP?

PrismNET

区块链 dapp AI 人工智能 PrismNET棱镜协议 PrismNET

外部中断的使用方法

芯动大师

使用 Flink SQL 解析嵌套 JSON

一道圣光

json 数据处理 FlinkSQL

Twitter不安全,自家老板中招_安全_万佳_InfoQ精选文章