8 月 30 日,推特(Twitter)創辦人兼執行長多爾西(Jack Dorsey)的官方推特帳號遭駭客攻擊,他的推特上充斥著種族歧視字眼、反猶太言論和更具攻擊性的內容,震驚了他的粉絲。
這次駭客攻擊似乎來自上週攻擊 YouTube 名人推特帳號的同一組織,受攻擊名人包括美妝影片部落客詹姆士查理斯(James Charles)、美國網紅始祖謝恩多森(Shane Dawson)及喜劇演員金巴赫(King Bach)。
星期五下午,推特大家長多爾西的 420 萬 Twitter 追隨者收到了令人不快的驚嚇推文。一群網路破壞者獲得了該帳戶的存取權限,並使用該存取權限為他們團隊的 Discord 語音頻道爆發了一系列令人反感的訊息和外掛程式。
在 15 分鐘內,該帳戶重新受到控制,而該攻擊團隊被 Discord 禁用,但該事件提醒了人們,即使是最知名的帳戶之中也可能存在嚴重的安全漏洞,以及電話式身分驗證的不安全性。
駭客是透過推特的文字轉推文(text-to-tweet)服務駭入帳號的,而文字轉推文服務目前則由推特所收購的 Cloudhopper 負責維運。使用 Cloudhopper,推特使用者就可以透過將簡訊經由一組短碼數字(通常是 40404)來發佈推文。這對於簡易型手機(例如沒觸控螢幕的功能手機)來說是一個很有用的技巧,或者是使用者無法存取 Twitter 應用程式的時候。
該系統只需要將你的電話號碼連結到你的推特帳號,這點大多數使用者早已基於不同的安全理由而這麼做了。因此,只要控制你的電話號碼通常就足以在你的帳號上發佈推文,而大多數用戶對此並不知情。
駭客用的是資安界早已熟悉的攻擊手法 之前多爾西帳號就被駭過了
事實證明,控制多爾西的電話號碼並不像你想像的那麼難。根據推特官方的一份聲明,供應商的「安全監管」讓駭客獲得了控制權。一般來說,這種攻擊被稱為 SIM 卡入侵攻擊(SIM Hacking),基本上就是說服電信商將多爾西的電話號碼分配給駭客所控制的新手機上。
這並不是一項新技術,儘管它更常被用來竊取比特幣(Bitcoin)或高價值通用所有社交平台的 Instagram 統一帳號(IG handle)。通常,這就和輸入一個洩漏的密碼一樣簡單。你可以透過在電信商帳號中新增個人識別碼(PIN)或使用假電話號碼來註冊像是推特等網路帳戶來保護自己,但這些技術對一般使用者來說要求太高了。因此,SIM 卡的盜換已經成為線上麻煩製造者最喜愛的技術之一,正如我們今天發現的,其泛濫的程度比你想像的更高。
任何讓用戶更容易發推文的系統,也會讓駭客更容易控制帳號。2016 年,多爾西也遭遇了類似的攻擊,該攻擊充份利用了授權的協力廠商外掛程式,這些外掛程式經常開發中止被棄用,但仍保留了可發送推文至帳號的許可權。隨著SIM 卡盜換技術得到更廣泛的理解,這種技術變得不那麼突出了,但偷渡式(Drive-by)惡意攻擊的基本目標並沒有太大的改變。
儘管如此,這一事件著實令 Twitter 感到顏面無光,原因並不僅僅在於該公司正急於奪回 CEO 帳號的控制權。畢竟整個資安界多年來早就知道 SIM 卡盜換攻擊的手法,而且多爾西的帳戶也曾遭到破壞。未能確保執行長帳號控制安全的簡單疏忽,對於該公司來講無異是個重大失誤,其影響遠遠不止幾分鐘的混亂而已。希望 Twitter 能從這次事件中汲取教訓,優先加強安全措施,甚至可將推特的簡訊驗證機制加以移除。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!