Twitter CEO 杰克·多西的推特账号被黑，黑客是如何得手的？

摘要：
在网络上，没有任何人是安全的。从普通网民到公司 CEO，网络安全威胁无处不在。一家全球知名互联网公司，公司创始人兼 CEO 的 Twitter 账户遭黑客入侵并被控制，连续发布多条不当言论，引起诸多网友关注和媒体报道。

据外媒 Securityaffairs 报道，Twitter CEO 兼联合创始人杰克·多西的推特账户遭黑客入侵。黑客在控制该账户后，利用这个账号发布多条攻击性和种族主义的推文。

据悉，从上周五下午 3:45（美东部时间）开始，杰克·多西的账号在短短 15 分钟内，连续发布近二十二条推文和转推，都是高度攻击性和种族主义的言论。并且其中一条推文有关炸弹威胁。

而另外一些推文被标记为#ChucklingSquad，这是一个黑客群体的名字。除了杰克·多西，Chuckling Squad 最近对高调的 Twitter 账户进行了多次攻击，其中包括美女视频博客詹姆斯·查尔斯以及 Youtube 名人 Desmond Amofah 的账户。

Twitter 表示，自己的系统没有受到损害，而是指责一家未透露姓名的移动运营商。

“在移动运营商的安全监视下，与这个账户相关的电话号码遭到劫持。它允许未经授权的人，通过电话号码来撰写短信和发布推文。目前，这个问题已经得到解决。”Twitter 在一份声明中说。

Securityaffairs 认为，这次黑客入侵，控制杰克·多西的账户有两种情况：
一是，攻击者入侵了 CloudHopper（CloudHopper 是一家被推特收购的公司，它允许用户使用短信发送推文）的基础设施系统；
二是杰克·多西遭受 SIM 卡交换攻击，黑客利用它们控制的一个电话号码取代了他的，并用它来发送有关种族主义推文的短信。

《纽约时报》披露，杰克·多西的推特账户被黑客利用 SIM 卡交换攻击所控制。

SIM 卡交换攻击（或 SIM 卡交换技术）通过欺骗电信运营商，将目标用户的手机号码转移到犯罪分子的 SIM 卡上。一旦犯罪分子控制目标用户的手机号码，就能利用它来重置受害者的密码并登录他们的在线账户。

公开资料表明，SIM 卡交换技术是一种复杂的社会工程学攻击，犯罪分子会收集特定目标用户的身份识别信息，以便向运营商证明“我就是你”。因此，在这种情况下，即使账户受到双因素身份验证保护，这种攻击方法仍然有效。

一篇《大规模的 SIM 卡交换诈骗趋势已经形成》文章则指出，SIM 卡交换是一个引导电信供应商的过程，比如 T-Mobile 将被攻击目标的手机号码转移到攻击者所持有的 SIM 卡上。一旦黑客收到手机号码，他们就可以用来重置受害者的密码并侵入他们的账户。

由此看来，黑客控制了杰克·多西的电话号码，通过短信直接将推文发到他的推特账号上。
当然，对杰克·多西来说，这种事情并不是第一次。2016 年，一群名为 OurMine 的黑客对杰克·多西进行了类似的攻击，允许他们在杰克·多西的推特账号上发帖。这个黑客团体曾经还接管了谷歌 CEO 桑达尔·皮查伊、Facebook CEO 马克·扎克伯格的社交媒体账号。

CNN 针对用户推特账户安全，提出了两大建议：

1. 使用验证码

首先，最好一直使用双因素身份验证，作为额外的验证步骤，它能在常规密码之外确认你的身份。但是，即使是双因素身份认证，也无法保护你免受 SIM 卡交换攻击。因为并非所有验证都是有效的，黑客可以拦截通过短信发送的验证码，让它失去用处。

幸运的是，Twitter 提供了几种更安全的验证方法。你可以使用谷歌身份验证器 APP，它可以为你提供代码，而黑客则需要你的手机来获取代码。

或者，你可以使用物理安全令牌，它是你可以单独购买的一个小硬件，能生成安全代码。黑客一般需要在物理上窃取该密钥才能访问账户。

2. 替换电话号码

现在看，关闭“用短信从账户发推文”的功能的唯一方法是从 Twitter 删除你的电话号码。但是，这有一个问题：这样做会禁用你账户的双因素身份验证。

如果是在美国，你可以尝试用 Google Voice 生成的号码代替你的电话号码。因为 Google 语音电话号码不是由移动运营商管理，也没有任何黑客可以通过谈话来帮助他们控制你的电话号码。

在网络上，一个账号代表的是一个人，账号言论反映出他的想法，也是一种现实行为在网络世界的映射。如果一个人每天在社交账号上谈论一些好的东西，突然有一天，他的账号发布一些糟糕的东西，比如种族主义等。那么，这种事情必然引起很大关注。尤其是对公司 CEO 和创始人来说，如果社交账号被黑客控制，发布一些不当言论，这会造成非常糟糕的结果。

相关文章：
https://securityaffairs.co/wordpress/90598/hacking/jack-dorsey-account-hacked.html
https://www.news4jax.com/tech/twitters-ceo-was-hacked-heres-how-to-safeguard-your-account?utm_source=twitter&utm_medium=social&utm_campaign=snd&utm_content=wjxt4
https://www.bbc.com/news/technology-49532244