在美國時間星期三,社群網路平台 Twitter 傳出嚴重資安事件,一名駭客透過不明手段,於眾多知名人士帳號如 Apple、比爾蓋茲、拜登、馬斯克、歐巴馬等人的頁面上,發布一則要求外界捐款比特幣到指定帳號的貼文訊息,引起外界一陣譁然。
這起 Twitter 帳號遭駭事件波及層面極廣,而且層級十分之高,舉凡有名人士的帳戶,如美國前總統歐巴馬、全球首富貝佐斯、特斯拉 CEO 馬斯克、微軟創辦人比爾蓋茲、民主黨總統候選人拜登等通通中鏢,就連品牌帳號如 Apple、Uber、Binance 等也都沒逃過。
根據「Blockchain」追蹤統計,這起事件之後,駭客提供的帳號在發文後共有 363 筆交易紀錄,收到約 12.9 個比特幣,換算金額約 11.8 萬美元。
在這些人或品牌的 Twitter 帳號上,駭客發表了一則要求外界捐款比特幣至特定帳號的相關訊息,部份貼文甚至為了引誘他人上鉤,提出「捐給我多少,我還你雙倍」的優惠條件,但很顯然這是一種詐騙行為。
正因為受到波及的帳號實在太過知名,而且數量太過龐大,Twitter 當下立刻做出反應,快速刪除許多由駭客發出的貼文,並在隨後暫停了許多已認證帳戶的發文權限,但目前已解除限制恢復正常。
但是,為什麼駭客有能力一次存取大量名人帳號,並且在未經任何審核的狀況下,對外界肆意發表貼文呢?一位 Twitter 內部人士指出,這名駭客很有可能利用了 Twitter 公司內部的「管理員工具」來達成。
根據國外媒體報導,這些受到影響的知名帳號,其實並非只能由企業或本人進行操作,還可以透過 Twitter 內部的「管理員工具」,進行發文、限制留言等進階功能,駭客就是瞄準了這一點,藉此繞過帳號管理人控制,並且取得發文權限。
許多於事發後從內部流出的截圖顯示,駭客使用「管理員工具」入侵知名人士帳號後,不僅僅只用來發表貼文,還更改了與這些帳號關聯的電子郵件地址,使原本的擁有者更難在第一時間重新取得控制權。
但是,有能力存取「管理員工具」的人,卻僅僅只有 Twitter 內部員工而已,正常狀況下,駭客並無法輕易操作帳號後台。因此,Twitter 認定這次的駭客行為是一起「社交工程攻擊」(Social Engineering Attack)。
Twitter 指出,有心駭客用某種手段成功騙取了內部員工的帳號、密碼或任何具備管理權的相關資訊,並於得到權限後,操作名人帳號向外界發出貼文。此外,Twitter 也表示他們已經開始著手調查,要釐清究竟是員工自願將工具交給駭客使用,或者駭客透過其他方式,取得了員工的帳號存取權。
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Twitter Support (@TwitterSupport) July 16, 2020
知情人士表明,Twitter 員工不太可能自願出售帳號,換取金錢或其他利益,給予駭客「管理員工具」的操作權限,與其他入侵手段並用的可能性相對較高。但無論如何,這整起事件從表現上來看,就像是 Twitter 員工利用自身的權力,惡搞了眾多知名人士的帳號一樣。
Twitter 大量遭駭事件為社群網路平台敲響了警鐘,即便事實真相仍然在調查,但想必 Twitter 安全性信賴程度已經受到強烈打擊。
想看小編精選的3C科技情報&實用評測文,快來加入《T客邦》LINE@
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!