17 岁少年黑客被判入狱 3 年，其一手制造了 Twitter 史上最大攻击案

天才黑客少年，终也逃不过法网恢恢。

Twitter 黑客事件主谋被判入狱 3 年

3 月 16 日，佛罗里达法院的一份书面文件显示，黑客 Graham Ivan Clark 对 2020 年夏天发生的比特币骗局表示认罪，最终同意服刑 3 年，缓刑 3 年。

据了解，Clark 此次因 30 项指控被捕，不过由于事件发生时（2020 年）Clark 只有 17 岁，属于“青年罪犯”，并可能有资格在军事式的新兵营中服役部分时间。如果 Clark 被定为成年犯罪，则将面临至少 10 年监禁。此外，根据认罪协议的条款，Clark 在没有执法部门的许可和监督下，不得使用电脑。

公开信息显示，Clark 是 2020 年夏天著名的“Twitter 黑客事件”主谋。

美东时间 2020 年 7 月 15 日下午，Clark 与其他人一起入侵了 130 家知名公司和个人的 Twitter 账号，其中包括苹果公司、马斯克、比尔·盖茨、奥巴马、拜登、沃伦·巴菲特等，并利用这些账户发送推文，进行比特币诈骗。法院检察官表示，Clark 在大约 3 小时的时间里，利用这一骗局赚取了 11.7 万美元（约合 76 万元人民币）。

Clark 利用苹果 Twitter 账号发布的诈骗推文

“Twitter 黑客事件”在当时震惊了整个科技行业，并成为 Twitter 历史上最严峻的网络安全事件之一。

事件发生后，Twitter 立即采取了紧急措施，临时关闭推文发布系统，阻止所有经过验证的用户发送新推文，无论这些用户是否被盗用。美东时间 2020 年 7 月 16 日，Twitter 创始人 Jack Dorsey 在推文中写道：“这对我们来说是艰难的一天，我们都感到这件事的可怕。”

不过在入侵事件发生后不久，Clark 就在佛罗里达希尔斯伯勒的家中被捕，和他一起参与该事件的两个伙伴，美国佛罗里达州奥兰多市的 Nima Fazeli（事件发生时 22 岁）和英国的 Mason Sheppard（事件发生时 19 岁）也被控犯有联邦罪行。

希尔斯伯勒州州检察长 Andrew Warren 在一份声明中说：“Clark 必须对这一罪行负责，其他潜在的骗子也需要看到后果。” “在这种情况下，我们能够承担这些后果，同时认识到，我们对任何触犯了法律的孩子的目标是，让他们从中吸取教训，而不是毁掉他们的未来。”

Twitter 被黑客入侵的那些年

据了解，2020 年的那场事件并不是 Twitter 与黑客的首次较量。

早在 2009 年，Twitter 就曾发生过一起严重的黑客入侵事件，包括当时的美国总统奥巴马、“小甜甜”布兰妮在内的 33 位名人的 Twitter 账号被劫持。

Twitter 称，黑客首先入侵 Twitter 网络，再利用 Twitter 提供的相应工具，更改了 33 位美国名人 Twitter 账号的密码，并在相应个人页面资料中上传损贬当事人的低俗内容。入侵发生后，Twitter 方面立即封锁了被入侵账号，并关闭了在线客户服务工具。

2013 年，有黑客专门入侵了美联社的 Twitter 账户，并发布假消息称“突发新闻：白宫里刚刚发生了两起爆炸，奥巴马总统受伤。”虽然仅仅在 6 分钟之后，白宫方面就出来辟谣了，但是受该假消息影响，民众一度恐慌，道琼斯指数也由 14697 点下降到 14567 点。

2016 年，更有黑客在暗网打包出售多达 3200 万个 Twitter 用户名和账号，售价为 10 比特币。不过 Twitter 方面宣称，这些泄露的账户密码根本就不是因为 Twitter 近期被黑，极有可能是之前一系列社交网络被黑事件所致，另外也有部分是恶意软件从用户那里收集到的数据。同时 Twitter 还表示，早就掌握了这些账户信息泄露的情况，而且也对这些用户的密码进行了重置。

此外，在 2016 年，黑客团体 OurMine 发起 Twitter“账号入侵计划”，当时入侵了维基百科联合创始人 Jimmy Wales 的 Twitter 账号，并散播了一条“#RIP Jimmy Wales，1966–2016”的恶搞消息。在攻破了多位名人的社交媒体账号之后，OurMine 还晒出了一份入侵名单，目标账户包括马克·扎克伯格、Google CEO 桑达尔·皮查伊等多位硅谷 CEO。

如何让 Twitter 账户更安全

CNN 曾针对用户 Twitter 账户安全，提出过两大建议：

1.使用验证码

首先，最好一直使用双因素身份验证，作为额外的验证步骤，它能在常规密码之外确认你的身份。但是，即使是双因素身份认证，也无法保护你免受 SIM 卡交换攻击。因为并非所有验证都是有效的，黑客可以拦截通过短信发送的验证码，让它失去用处。

幸运的是，Twitter 提供了几种更安全的验证方法。你可以使用谷歌身份验证器 APP，它可以为你提供代码，而黑客则需要你的手机来获取代码。

或者，你可以使用物理安全令牌，它是你可以单独购买的一个小硬件，能生成安全代码。黑客一般需要在物理上窃取该密钥才能访问账户。

2.替换电话号码

现在看，关闭“用短信从账户发推文”的功能的唯一方法是从 Twitter 删除你的电话号码。但是，这有一个问题：这样做会禁用你账户的双因素身份验证。

如果是在美国，你可以尝试用 Google Voice 生成的号码代替你的电话号码。因为 Google 语音电话号码不是由移动运营商管理，也没有任何黑客可以通过谈话来帮助他们控制你的电话号码。

在网络上，一个账号代表的是一个人，账号言论反映出他的想法，也是一种现实行为在网络世界的映射。如果一个人每天在社交账号上谈论一些好的东西，突然有一天，他的账号发布一些糟糕的东西，比如种族主义等。那么，这种事情必然引起很大关注。尤其是对公司 CEO 和创始人来说，如果社交账号被黑客控制，发布一些不当言论，这会造成非常糟糕的结果。

参考链接：

https://www.theverge.com/2021/3/16/22334421/twitter-hacker-bitcoin-plea-deal-agreement-graham-ivan-clark-three-years

http://security.zhiding.cn/security_zone/2009/0108/1305444.shtml

https://www.infoq.cn/article/cW2Xr37RT09jYPkzIHKw