写点什么

Twitter CEO 杰克·多西的推特账号被黑,黑客是如何得手的?

  • 2019-09-02
  • 本文字数:1873 字

    阅读完需:约 6 分钟

Twitter CEO杰克·多西的推特账号被黑,黑客是如何得手的?

摘要:

在网络上,没有任何人是安全的。从普通网民到公司 CEO,网络安全威胁无处不在。一家全球知名互联网公司,公司创始人兼 CEO 的 Twitter 账户遭黑客入侵并被控制,连续发布多条不当言论,引起诸多网友关注和媒体报道。



据外媒Securityaffairs报道,Twitter CEO 兼联合创始人杰克·多西的推特账户遭黑客入侵。黑客在控制该账户后,利用这个账号发布多条攻击性和种族主义的推文。


据悉,从上周五下午 3:45(美东部时间)开始,杰克·多西的账号在短短 15 分钟内,连续发布近二十二条推文和转推,都是高度攻击性和种族主义的言论。并且其中一条推文有关炸弹威胁。


而另外一些推文被标记为 #ChucklingSquad,这是一个黑客群体的名字。除了杰克·多西,Chuckling Squad 最近对高调的 Twitter 账户进行了多次攻击,其中包括美女视频博客詹姆斯·查尔斯以及 Youtube 名人 Desmond Amofah 的账户。



Twitter 表示,自己的系统没有受到损害,而是指责一家未透露姓名的移动运营商。


“在移动运营商的安全监视下,与这个账户相关的电话号码遭到劫持。它允许未经授权的人,通过电话号码来撰写短信和发布推文。目前,这个问题已经得到解决。”Twitter 在一份声明中说。



Securityaffairs 认为,这次黑客入侵,控制杰克·多西的账户有两种情况:


一是,攻击者入侵了 CloudHopper(CloudHopper 是一家被推特收购的公司,它允许用户使用短信发送推文)的基础设施系统;二是杰克·多西遭受 SIM 卡交换攻击,黑客利用它们控制的一个电话号码取代了他的,并用它来发送有关种族主义推文的短信。


《纽约时报》披露,杰克·多西的推特账户被黑客利用 SIM 卡交换攻击所控制。


SIM 卡交换攻击(或 SIM 卡交换技术)通过欺骗电信运营商,将目标用户的手机号码转移到犯罪分子的 SIM 卡上。一旦犯罪分子控制目标用户的手机号码,就能利用它来重置受害者的密码并登录他们的在线账户。


公开资料表明,SIM 卡交换技术是一种复杂的社会工程学攻击,犯罪分子会收集特定目标用户的身份识别信息,以便向运营商证明“我就是你”。因此,在这种情况下,即使账户受到双因素身份验证保护,这种攻击方法仍然有效。


一篇《大规模的SIM卡交换诈骗趋势已经形成》文章则指出,SIM 卡交换是一个引导电信供应商的过程,比如 T-Mobile 将被攻击目标的手机号码转移到攻击者所持有的 SIM 卡上。一旦黑客收到手机号码,他们就可以用来重置受害者的密码并侵入他们的账户。


由此看来,黑客控制了杰克·多西的电话号码,通过短信直接将推文发到他的推特账号上。


当然,对杰克·多西来说,这种事情并不是第一次。2016 年,一群名为 OurMine 的黑客对杰克·多西进行了类似的攻击,允许他们在杰克·多西的推特账号上发帖。这个黑客团体曾经还接管了谷歌CEO 桑达尔·皮查伊、Facebook CEO 马克·扎克伯格的社交媒体账号。


CNN 针对用户推特账户安全,提出了两大建议:

1.使用验证码

首先,最好一直使用双因素身份验证,作为额外的验证步骤,它能在常规密码之外确认你的身份。但是,即使是双因素身份认证,也无法保护你免受 SIM 卡交换攻击。因为并非所有验证都是有效的,黑客可以拦截通过短信发送的验证码,让它失去用处。


幸运的是,Twitter 提供了几种更安全的验证方法。你可以使用谷歌身份验证器 APP,它可以为你提供代码,而黑客则需要你的手机来获取代码。


或者,你可以使用物理安全令牌,它是你可以单独购买的一个小硬件,能生成安全代码。黑客一般需要在物理上窃取该密钥才能访问账户。

2.替换电话号码

现在看,关闭“用短信从账户发推文”的功能的唯一方法是从 Twitter 删除你的电话号码。但是,这有一个问题:这样做会禁用你账户的双因素身份验证。


如果是在美国,你可以尝试用 Google Voice 生成的号码代替你的电话号码。因为 Google 语音电话号码不是由移动运营商管理,也没有任何黑客可以通过谈话来帮助他们控制你的电话号码。


在网络上,一个账号代表的是一个人,账号言论反映出他的想法,也是一种现实行为在网络世界的映射。如果一个人每天在社交账号上谈论一些好的东西,突然有一天,他的账号发布一些糟糕的东西,比如种族主义等。那么,这种事情必然引起很大关注。尤其是对公司 CEO 和创始人来说,如果社交账号被黑客控制,发布一些不当言论,这会造成非常糟糕的结果。


相关文章:


https://securityaffairs.co/wordpress/90598/hacking/jack-dorsey-account-hacked.html


https://www.news4jax.com/tech/twitters-ceo-was-hacked-heres-how-to-safeguard-your-account?utm_source=twitter&utm_medium=social&utm_campaign=snd&utm_content=wjxt4


https://www.bbc.com/news/technology-49532244


2019-09-02 14:533614

评论

发布
暂无评论
发现更多内容

戴着镣铐起舞的算法市场

脑极体

Java程序员【面试】与【进阶】3个最佳学习方法

Java架构师迁哥

我的程序员生涯(2)

胡途

程序员 职业生涯

区块链能否为应对气候变化 提供解决方案?

CECBC

Bzz节点挖矿系统搭建,Bzz分币系统源码

相似度计算-句子

Qien Z.

nlp 6月日更 tf-idf

让JavaScript在WebAssembly上快速运行

代码先生

JIT webassembly WASI

Sprint Review != Demo——《Scrum指南》重读有感(4)

Bruce Talk

Scrum 敏捷 随笔 Agile

JavaScript 代码逻辑判断的优化

编程三昧

JavaScript 大前端 代码质量 代码优化 编程思想

Kubernetes手记(4)- 命令入门

雪雷

6月日更

Atlassian 最受欢迎的分析工具强势融入 Confluence Data Center!

Atlassian

DevOps 知识管理 Atlassian Jira Confluence

这个 “少年黑客”,用黑科技守护独居老人

阿里云CloudImagine

阿里云 计算机视觉 音视频 养老

架构训练营模块 5 作业 - 江哲

江哲

整数划分问题(详解 n > m 情况)

若尘

数据结构 6月日更

网络攻防学习笔记 Day38

穿过生命散发芬芳

网络攻防 6月日更

如何使用Tauri和Ember.js创建小型、快速和酷的桌面应用程序

代码先生

tauri ember.js desktop程序

El Camino de Santiago

escray

6月日更

Git使用

xujiangniao

区块链+数字政务:成都高新区如何创新

CECBC

【译】编写整洁 React 代码的简单实践

KooFE

大前端 React 6月日更 整洁代码

MySQL基础之五:其他过滤方式

打工人!

myslq 6月日更

5分钟速读之Rust权威指南(十八)

wzx

rust 范型 trait

理解IM消息“可靠性”和“一致性”问题,以及解决方案探讨

JackJiang

即时通讯 IM 可靠消息最终一致

我的程序员生涯(1)

胡途

程序员 职业生涯

Redis 缓存的三大问题及其解决方案

xcbeyond

redis 缓存 6月日更

Bzz节点分币系统搭建,Bzz矿机挖矿系统

【Vue2.x 源码学习】第七篇 - 阶段性梳理

Brave

源码 vue2 6月日更

应用,才是区块链的终极归宿

CECBC

自制文件系统 —— 02 开发者的福音,FUSE文件系统

奇伢云存储

Linux 文件系统 FUSE

APISIX2.6微服务网关入门

菠萝吹雪—Code

架构实战营

平衡计分卡- 战略落地的工具

石云升

创业 战略 职场经验 6月日更

Twitter CEO杰克·多西的推特账号被黑,黑客是如何得手的?_安全_万佳_InfoQ精选文章