写点什么

Twitter CEO 杰克·多西的推特账号被黑,黑客是如何得手的?

  • 2019-09-02
  • 本文字数:1873 字

    阅读完需:约 6 分钟

Twitter CEO杰克·多西的推特账号被黑,黑客是如何得手的?

摘要:

在网络上,没有任何人是安全的。从普通网民到公司 CEO,网络安全威胁无处不在。一家全球知名互联网公司,公司创始人兼 CEO 的 Twitter 账户遭黑客入侵并被控制,连续发布多条不当言论,引起诸多网友关注和媒体报道。



据外媒Securityaffairs报道,Twitter CEO 兼联合创始人杰克·多西的推特账户遭黑客入侵。黑客在控制该账户后,利用这个账号发布多条攻击性和种族主义的推文。


据悉,从上周五下午 3:45(美东部时间)开始,杰克·多西的账号在短短 15 分钟内,连续发布近二十二条推文和转推,都是高度攻击性和种族主义的言论。并且其中一条推文有关炸弹威胁。


而另外一些推文被标记为 #ChucklingSquad,这是一个黑客群体的名字。除了杰克·多西,Chuckling Squad 最近对高调的 Twitter 账户进行了多次攻击,其中包括美女视频博客詹姆斯·查尔斯以及 Youtube 名人 Desmond Amofah 的账户。



Twitter 表示,自己的系统没有受到损害,而是指责一家未透露姓名的移动运营商。


“在移动运营商的安全监视下,与这个账户相关的电话号码遭到劫持。它允许未经授权的人,通过电话号码来撰写短信和发布推文。目前,这个问题已经得到解决。”Twitter 在一份声明中说。



Securityaffairs 认为,这次黑客入侵,控制杰克·多西的账户有两种情况:


一是,攻击者入侵了 CloudHopper(CloudHopper 是一家被推特收购的公司,它允许用户使用短信发送推文)的基础设施系统;二是杰克·多西遭受 SIM 卡交换攻击,黑客利用它们控制的一个电话号码取代了他的,并用它来发送有关种族主义推文的短信。


《纽约时报》披露,杰克·多西的推特账户被黑客利用 SIM 卡交换攻击所控制。


SIM 卡交换攻击(或 SIM 卡交换技术)通过欺骗电信运营商,将目标用户的手机号码转移到犯罪分子的 SIM 卡上。一旦犯罪分子控制目标用户的手机号码,就能利用它来重置受害者的密码并登录他们的在线账户。


公开资料表明,SIM 卡交换技术是一种复杂的社会工程学攻击,犯罪分子会收集特定目标用户的身份识别信息,以便向运营商证明“我就是你”。因此,在这种情况下,即使账户受到双因素身份验证保护,这种攻击方法仍然有效。


一篇《大规模的SIM卡交换诈骗趋势已经形成》文章则指出,SIM 卡交换是一个引导电信供应商的过程,比如 T-Mobile 将被攻击目标的手机号码转移到攻击者所持有的 SIM 卡上。一旦黑客收到手机号码,他们就可以用来重置受害者的密码并侵入他们的账户。


由此看来,黑客控制了杰克·多西的电话号码,通过短信直接将推文发到他的推特账号上。


当然,对杰克·多西来说,这种事情并不是第一次。2016 年,一群名为 OurMine 的黑客对杰克·多西进行了类似的攻击,允许他们在杰克·多西的推特账号上发帖。这个黑客团体曾经还接管了谷歌CEO 桑达尔·皮查伊、Facebook CEO 马克·扎克伯格的社交媒体账号。


CNN 针对用户推特账户安全,提出了两大建议:

1.使用验证码

首先,最好一直使用双因素身份验证,作为额外的验证步骤,它能在常规密码之外确认你的身份。但是,即使是双因素身份认证,也无法保护你免受 SIM 卡交换攻击。因为并非所有验证都是有效的,黑客可以拦截通过短信发送的验证码,让它失去用处。


幸运的是,Twitter 提供了几种更安全的验证方法。你可以使用谷歌身份验证器 APP,它可以为你提供代码,而黑客则需要你的手机来获取代码。


或者,你可以使用物理安全令牌,它是你可以单独购买的一个小硬件,能生成安全代码。黑客一般需要在物理上窃取该密钥才能访问账户。

2.替换电话号码

现在看,关闭“用短信从账户发推文”的功能的唯一方法是从 Twitter 删除你的电话号码。但是,这有一个问题:这样做会禁用你账户的双因素身份验证。


如果是在美国,你可以尝试用 Google Voice 生成的号码代替你的电话号码。因为 Google 语音电话号码不是由移动运营商管理,也没有任何黑客可以通过谈话来帮助他们控制你的电话号码。


在网络上,一个账号代表的是一个人,账号言论反映出他的想法,也是一种现实行为在网络世界的映射。如果一个人每天在社交账号上谈论一些好的东西,突然有一天,他的账号发布一些糟糕的东西,比如种族主义等。那么,这种事情必然引起很大关注。尤其是对公司 CEO 和创始人来说,如果社交账号被黑客控制,发布一些不当言论,这会造成非常糟糕的结果。


相关文章:


https://securityaffairs.co/wordpress/90598/hacking/jack-dorsey-account-hacked.html


https://www.news4jax.com/tech/twitters-ceo-was-hacked-heres-how-to-safeguard-your-account?utm_source=twitter&utm_medium=social&utm_campaign=snd&utm_content=wjxt4


https://www.bbc.com/news/technology-49532244


2019-09-02 14:533522

评论

发布
暂无评论
发现更多内容

架构师训练营 4 期 第11周

引花眠

架构师训练营 4 期

通用中间件模型

型火🔥

架构 分布式 抽象 中间件 模型

分布式事务

insight

分布式事务 3月日更

高并发HTTP请求实践

高性能架构探索

面试官再问你优先级队列,请把这篇文章丢给他

Silently9527

Java 优先级队列 二叉堆

AI开发效率低,你可以试试华为NAIE AutoML

华为云开发者联盟

华为 AI 框架 AutoML NAIE平台

学无定法——知识反转效应

Justin

心理学 28天写作 游戏设计

架构师训练营-Web 攻击与防护

引花眠

架构师训练营 4 期

大作业

瑾瑾呀

Hadoop之YARN的内部机制

hanke

大数据 hadoop 开源 YARN

寻找被遗忘的勇气(十四)

Changing Lin

3月日更

哈希吧,滚雪球学 Python 哈希表与可哈希对象

梦想橡皮擦

28天写作 3月日更

写代码这件事

ES_her0

28天写作 3月日更

Docker 教程(二):Dockerfile

看山

Docker Dockerfile

最新版Swagger 3升级指南和新功能体验!

王磊

Java swagger

优雅编程 | 24个Javascript代码优化技巧

devpoint

js 空值运算符 高级函数 模板字面量

Google面试题-怎样实现拼写纠错的功能?

Nick

数据结构 二分查找 数据结构与算法

如何打造一款全球化的App?

故胤道长

硅谷 国际化 ios开发 Android开发 硅谷问道

卡梅隆和他的《阿凡达》「Day 22」

道伟

28天写作

利用深度元学习对城市销量进行预测 | AAAI 2021论文解读

京东科技开发者

零售 预测

初识Golang之聊聊类型

Kylin

3月日更 21天挑战 Java转go Go 语言

Ubuntu 日常系列:常用软件

TroyLiu

Linux ubuntu Ubuntu20.04

jdk 源码系列之 TheadPoolExecutor

sinsy

jdk ThreadPoolExecutor

容器引擎学习笔记

lenka

3月日更

javascript中的Strict模式

程序那些事

JavaScript ES6 程序那些事

52条SQL语句性能优化策略,建议收藏

Java小咖秀

MySQL 性能优化 后端 MySQL性能优化

大作业-附件5

曾烧麦

产品训练营

用户行为分析模型实践(一)—— 路径分析模型

vivo互联网技术

大数据 数据分析 用户行为分析

JDK动态代理的实现机制

xzy

Java 动态代理 原理分析

在PostgreSQL中使用ltree处理层次结构数据

PostgreSQLChina

数据库 postgresql 开源 软件 开源社区

源码分析-Netty: 并发编程的实践(二)

程序员架构进阶

源码分析 Netty 多线程高并发 28天写作 3月日更

Twitter CEO杰克·多西的推特账号被黑,黑客是如何得手的?_安全_万佳_InfoQ精选文章