Twitter大(dà)規模黑客攻擊或将演變成全球安全危機

2020-07-16 查看(3096)

新浪科技訊 北(běi)京時間7月16日午間消息,據外(wài)媒報道,比特币騙子不會是最後一(yī)個盜取認證賬戶的人——我(wǒ)們應該保持警惕,因爲還會有其他人來盜取我(wǒ)們的賬戶。

  一(yī)切皆在意料之中(zhōng)。

  2020年7月15日的黑客攻擊事件,是Twitter公司曆史上最嚴重的一(yī)次安全破壞事件。無論公司最終怎麽講述這次事件,有一(yī)點必須承認,危機早在幾年前就已經開(kāi)始醞釀。

  從2018年春季開(kāi)始,騙子已經在冒充知(zhī)名加密貨币愛好者伊隆·馬斯克(Elon Musk)。他們使用馬斯克的頭像,選擇一(yī)個相似的用戶名,然後發布一(yī)條仿佛天上掉餡餅一(yī)般的有效邀請:借給他一(yī)些加密貨币,他會還你更多。有時候,詐騙者會回複一(yī)個已經連接且經過認證的賬戶(例如馬斯克的SpaceX),好讓假賬戶看上去(qù)更真實。騙子還會通過僵屍網絡散播虛假推文,也是爲了增加真實性。

  2018年的事件讓我(wǒ)們看到三件事。第一(yī),總會有人上當受騙,每一(yī)次有人上當受騙,都足以激發進一(yī)步詐騙;第二,Twitter對這種威脅的處理緩慢(màn),遠不及該公司一(yī)早許下(xià)的會嚴肅對待這些問題的承諾;第三,詐騙者的需求與Twitter最初采取的反擊措施形成一(yī)場貓捉老鼠遊戲,進而鼓動不法分(fēn)子采取更激進的行動來制造破壞。

  于是就有了今天的最大(dà)規模攻擊事件。尼克·斯塔特(Nick Statt)報道說:

  “大(dà)型公司和個人的Twitter賬戶最近遭遇該平台上有史以來最大(dà)規模的黑客攻擊。所有攻擊都是爲了推廣比特币騙局,而且始作俑者似乎還從中(zhōng)賺到了一(yī)小(xiǎo)筆錢。我(wǒ)們不知(zhī)道攻擊是如何發生(shēng)的,也不知(zhī)道Twitter自己的系統受到多大(dà)程度的損害。黑客似乎已經消停,但認證賬号從東部時間下(xià)午四點開(kāi)始陸續發布新的詐騙推文,一(yī)直持續兩個多小(xiǎo)時。沉默了一(yī)個多小(xiǎo)時候,Twitter終于承認了黑客攻擊時間,東部時間5點45分(fēn)的時候在公司的用戶支持賬戶上寫道:‘我(wǒ)們已經獲悉影響我(wǒ)們平台用戶的安全事件。我(wǒ)們正在調查并積極采取措施應對攻擊。我(wǒ)們會盡快向大(dà)家提供最新信息。’”

  包括前總統巴拉克·奧巴馬(Barack Obama),喬·拜登(Joe Biden),亞馬遜首席執行官傑夫·貝佐斯(Jeff Bezos),比爾·蓋茨(Bill Gates)和流行歌手坎耶·韋斯特(Kanye West)等人以及蘋果優步等科技公司的認證帳戶受到黑客攻擊。

  但他們都是後來的事情。最早受到攻擊的名人賬戶,是誰呢?伊隆·馬斯克,毫無疑問。

  黑客攻擊的前幾個小(xiǎo)時内,上當受騙的人們一(yī)共向黑客送上了11.8萬多美元。另外(wài),黑客可能還訪問了大(dà)量的個人直接消息。更令人不安的是,黑客攻擊展開(kāi)的速度和規模,還有更深層次的國家安全問題。

  當然,最首要也是最顯著的一(yī)個問題是,攻擊的始作俑者是誰,他們是如何做到的?截至發稿時,我(wǒ)們還沒有答案。根據安全記者約瑟夫·考克斯(Joseph Cox)的報道,地下(xià)黑客社區的成員(yuán)之間分(fēn)享的屏幕截圖顯示,有人可以訪問Twitter内部用于管理賬戶的工(gōng)具。考克斯寫道:

  “兩名地下(xià)黑客社區的信源向媒體(tǐ)提供了一(yī)個内部控制面闆的屏幕截圖,據稱Twitter的員(yuán)工(gōng)就是使用這個内部控制面闆管理用戶賬戶。一(yī)名消息人士稱,Twitter的這個控制面闆也用來更改某些所謂OG賬戶的所有權。Twitter已經删除了這些控制面闆的截圖,并暫停了發布這些截圖的用戶賬戶,稱内容違反社區規則。”

  繼續揣測難免顯得不負責任,但考克斯的報告至少已經說明這不是一(yī)起簡單普通的黑客攻擊事件。一(yī)種可能的情況是,黑客攻破了Twitter的内部工(gōng)具;考克斯還提出了另一(yī)種可能,Twitter員(yuán)工(gōng)中(zhōng)有内鬼,參與了這次攻擊——若果真如此,那Twitter真是年内中(zhōng)彩兩次了。

  但不管是哪種情況,Twitter對這次事件的回應帶來進一(yī)步的困擾。該公司最早就此事而發布的推文基本沒提到任何實質性内容,兩小(xiǎo)時後Twitter簡單地表示:公司已經禁用了認證賬戶的發推功能,或者已經重置了他們的密碼,同時公司正在努力調查攻擊的根本原因。但是就在Twitter說明情況之前,許多用戶已經被迫發現,他們發不出推文了。

  政客、名人和國家新聞媒體(tǐ)這會都發不了推文倒是給Twitter省了些公關麻煩,雖然普通用戶的調侃挺歡樂,但細想一(yī)下(xià)更嚴重的問題還在後頭。Twitter,無論好壞,始終是全球最重要的通信系統之一(yī),它的用戶中(zhōng)有很多與緊急醫療服務機構相關。例如,伊利諾伊州林肯國家氣象局在認證賬戶被禁言前,剛剛發布了一(yī)條龍卷風警告。那些依賴這個賬号了解龍卷風後續情況的用戶們,這下(xià)可能要倒黴了。

  當然,Twitter禁止認證賬戶發言也是不得已爲之。人們大(dà)概甯願國家氣象服務發不了推,也不會希望黑客把賬戶賣給不法分(fēn)子然後後者乘機登錄賬戶發布一(yī)些虛假信息,比如謊稱龍卷費(fèi)席卷了美國各大(dà)城市等等。但是用這種笨拙的方法來解決問題——禁止35.9萬個認證賬戶中(zhōng)的大(dà)部分(fēn)賬戶發布消息——反映出這次事件的影響範圍之廣。

  然後你不由得會想,如果下(xià)一(yī)次這麽幹的不是貪婪的比特币騙子,而是國家級别的人物(wù)或者精神病患者,公司會采取什麽樣的應急措施。這次事件後,不難想象,如果有人控制了某個世界領導人的賬戶然後試圖發動核戰争,也未嘗沒有可能。

  在這一(yī)點上,密蘇裏州共和黨參議員(yuán)喬什·霍利(Josh Hawley)在寫給Twitter首席執行官傑克·多西的信中(zhōng)提到的内容,十分(fēn)能引起共鳴。霍利說:

  “我(wǒ)擔心該事件不僅僅是一(yī)系列有計劃有預謀的獨立黑客攻擊事件,更是對Twitter自身安全性的一(yī)次成功攻擊。正如你所知(zhī),你的數百萬用戶不僅依賴你的服務公開(kāi)發布推文,也使用你的直接消息服務私下(xià)裏互相交流。對你系統服務器的成功攻擊将對所有用戶的隐私與數據安全構成威脅。”

  不過,霍利也沒有說全面。這裏,不僅是用戶隐私和數據安全面臨威脅。更重要的是,Twitter上的冒名頂替和欺詐極有可能引起現實世界中(zhōng)的動亂。直到今天,我(wǒ)們已經看到這種假設已真實發生(shēng)。随着距離(lí)2020年大(dà)選隻剩不到四個月時間,天知(zhī)道到底會發生(shēng)什麽。

  接下(xià)來幾天,Twitter可能會調查安全事件的起因。該公司可能無法給出完全令人滿意的解釋。但重要的是,Twitter及時與公衆分(fēn)享它對這次事件所了解到的一(yī)切——以及公司日後會采取哪些措施避免這樣的事情再次發生(shēng)。(小(xiǎo)白(bái))


掃二維碼與項目經理溝通

我(wǒ)們在微信上24小(xiǎo)時期待你的聲音

解答本文疑問/技術咨詢/運營咨詢/技術建議/互聯網交流

鄭重聲明:郑州禾木网络技术有限公司網絡科技有限公司以外(wài)的任何單位或個人,不得使用該案例作爲工(gōng)作成功展示!