推特Twitter執行長Jack Dorse帳戶就被駭客遭駭!狂發種族歧視貼文駭客手法解密

Twitter總裁帳號遭駭!狂發種族歧視貼文 駭客手法解密

公眾人物的官方帳號、網路社群是駭客最愛的對象,除了挑戰名人的網路防護以外,駭進這些名人的帳號裡面,可能還會收穫一些機密消息。美國當地時間,上星期五(30日)推特(Twitter)的執行長Jack Dorse帳戶就被駭客攻擊了,這個消息讓所有Twitter用戶感到驚慌,網路安全怎麼了?

根據外媒報導,30日下午的時候,執行長Dorsey的帳號不斷地發布一系列種族主義和其他詛咒的字語,歷時20分鐘。推特立即表示,「被駭客入侵了執行長的帳戶,但現在已經處理完畢,安全了!」然而這些惡意的貼文並不是透過帳號被駭而發送的,駭客直接入侵推特的系統,透過手機電話的訊息直接貼文。這顯示,駭客並不需要用戶的帳號密碼也可以直接發文。

事後發現,是推特在2010年購買的一家電信公司Cloudhopper惹的禍,有一些用戶經常透過簡訊的方式發送推文,外媒證實,使用從未登入推特的手機,不需要輸入任何密碼,就可以透過簡訊發送推文。這是安全疏失,使用簡訊推文的方式可能曾經看起來有用且無害,過去幾年曾經有SIM卡的駭客崛起,當時的方法是,駭客會向電信商佯稱自己丟失了SIM卡,並要求將該號碼轉移到新的卡片上。

推特稍後發表聲明,「由於移動服務商的安全監督問題,與該帳戶關聯的電話號碼遭到破解,未經授權而被允許通過電話號碼的簡訊而發送貼文,這個問題已經被解決了。」雖然這種見到問題就處理的方式,效果明顯,但不可否認,網路安全和電信安全的合作,絕對是資訊安全未來的主要方向。

事實上,Dorsey的帳戶曾經於2016就被駭客組織入侵過,這個組織也曾經入侵過Google 行政總裁Sundar Pichai和Facebook CEO馬克祖克柏的帳戶。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

糗!Twitter CEO 多爾西的推特帳號被駭,駭客只運用簡單的 SIM 盜換技術就搞定

8 月 30 日,推特(Twitter)創辦人兼執行長多爾西(Jack Dorsey)的官方推特帳號遭駭客攻擊,他的推特上充斥著種族歧視字眼、反猶太言論和更具攻擊性的內容,震驚了他的粉絲。

這次駭客攻擊似乎來自上週攻擊 YouTube 名人推特帳號的同一組織,受攻擊名人包括美妝影片部落客詹姆士查理斯(James Charles)、美國網紅始祖謝恩多森(Shane Dawson)及喜劇演員金巴赫(King Bach)。

星期五下午,推特大家長多爾西的 420 萬 Twitter 追隨者收到了令人不快的驚嚇推文。一群網路破壞者獲得了該帳戶的存取權限,並使用該存取權限為他們團隊的 Discord 語音頻道爆發了一系列令人反感的訊息和外掛程式。

在 15 分鐘內,該帳戶重新受到控制,而該攻擊團隊被 Discord 禁用,但該事件提醒了人們,即使是最知名的帳戶之中也可能存在嚴重的安全漏洞,以及電話式身分驗證的不安全性。

駭客是透過推特的文字轉推文(text-to-tweet)服務駭入帳號的,而文字轉推文服務目前則由推特所收購的 Cloudhopper 負責維運。使用 Cloudhopper,推特使用者就可以透過將簡訊經由一組短碼數字(通常是 40404)來發佈推文。這對於簡易型手機(例如沒觸控螢幕的功能手機)來說是一個很有用的技巧,或者是使用者無法存取 Twitter 應用程式的時候。

該系統只需要將你的電話號碼連結到你的推特帳號,這點大多數使用者早已基於不同的安全理由而這麼做了。因此,只要控制你的電話號碼通常就足以在你的帳號上發佈推文,而大多數用戶對此並不知情。

駭客用的是資安界早已熟悉的攻擊手法  之前多爾西帳號就被駭過了

事實證明,控制多爾西的電話號碼並不像你想像的那麼難。根據推特官方的一份聲明,供應商的「安全監管」讓駭客獲得了控制權。一般來說,這種攻擊被稱為 SIM 卡入侵攻擊(SIM Hacking),基本上就是說服電信商將多爾西的電話號碼分配給駭客所控制的新手機上。

這並不是一項新技術,儘管它更常被用來竊取比特幣(Bitcoin)或高價值通用所有社交平台的 Instagram 統一帳號(IG handle)。通常,這就和輸入一個洩漏的密碼一樣簡單。你可以透過在電信商帳號中新增個人識別碼(PIN)或使用假電話號碼來註冊像是推特等網路帳戶來保護自己,但這些技術對一般使用者來說要求太高了。因此,SIM 卡的盜換已經成為線上麻煩製造者最喜愛的技術之一,正如我們今天發現的,其泛濫的程度比你想像的更高。

任何讓用戶更容易發推文的系統,也會讓駭客更容易控制帳號。2016 年,多爾西也遭遇了類似的攻擊,該攻擊充份利用了授權的協力廠商外掛程式,這些外掛程式經常開發中止被棄用,但仍保留了可發送推文至帳號的許可權。隨著SIM 卡盜換技術得到更廣泛的理解,這種技術變得不那麼突出了,但偷渡式(Drive-by)惡意攻擊的基本目標並沒有太大的改變。

儘管如此,這一事件著實令 Twitter 感到顏面無光,原因並不僅僅在於該公司正急於奪回 CEO 帳號的控制權。畢竟整個資安界多年來早就知道 SIM 卡盜換攻擊的手法,而且多爾西的帳戶也曾遭到破壞。未能確保執行長帳號控制安全的簡單疏忽,對於該公司來講無異是個重大失誤,其影響遠遠不止幾分鐘的混亂而已。希望 Twitter 能從這次事件中汲取教訓,優先加強安全措施,甚至可將推特的簡訊驗證機制加以移除。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

自家執行長SIM卡被挾持導致帳號遭駭,Twitter緊急關閉SMS傳訊功能

Twitter創辦人暨執行長Jack Dorsey的Twitter官方帳號,在上周五(8月30日)遭到駭客入侵,駭客利用Dorsey的帳號胡亂發言,在15分鐘內不斷張貼或轉推了涉及種族主義的留言,Twitter很快就保全了Dorsey的帳號,說明是因Dorsey的SIM卡被劫持所造成的,也在今天(9月5日)暫時關閉了透過SMS張貼Twitter內容的功能。

儘管大多數的Twitter用戶是透過Web或手機上的Twitter行動程式張貼推文,但Twitter依然保留了早期允許用戶以簡訊(SMS)發送推文的功能,它除了是Twitter的傳統之外,也可嘉惠行動數據服務價格依然昂貴的開發中國家用戶,且Dorsey也經常使用簡訊來發文。

Twitter表示,該公司的系統並未被駭,而是連結Dorsey帳號的手機號碼因為電信業者的疏忽而被挾持,才讓駭客得以利用Dorsey的號碼傳送各種推文。

駭客一取得Dorsey手機號碼的掌控權,便恣意地張貼及轉貼涉及種族主義的推文,像是反猶太人,或是稱黑人為黑鬼等。

Twitter除了抱怨電信業者之外,也在今天宣布暫時關閉透過簡訊傳送推文的功能,指出相關漏洞必須要由電信業者出面修補,而Twitter也會於該功能加入雙因素身分認證,很快就會重新上線。

SIM卡挾持事件近來時有所聞,例如有一名加密貨幣投資人Michael Terpin就曾因相關事件提出訴訟,駭客挾持了Terpin的SIM卡,把Terpin虛擬錢包內價值2,400萬美元的加密貨幣提領一空,Terpin不但告了駭客,也告了讓駭客取得其電話號碼的電信業者AT&T。

這些犯罪份子通常是以假冒的身分文件,向電信營運商宣稱手機遺失或換手機等理由,以將手機號碼移植到新的SIM卡上,亦被稱為SIM卡交換(SIM Swap)詐騙。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏