推特大規模被黑,蘋果、亞馬遜,甚至前總統都被殃及?

買賣虛擬貨幣

“你給我100紅包,我明兒給你200怎麼樣。”

敢發紅包篤定能收到回饋的,怕是隻有最信任的人了。法制節目經常會播放一些類似的騙局來警示大家。然而能上當的本質還是在於這兩個字:信任。

推特被黑事件

北京時間2020年7月16日凌晨三點左右,CertiK安全團隊的研究人員檢測到,著名社交網站推特(Twitter)上多位有影響力的大V賬戶被盜。這些被盜的賬戶全部都發布瞭如下的比特幣釣魚資訊。

“為了回饋大家(為了支援比特幣),現在對大家進行回饋。你只要給以下地址轉賬1000美金,我就返還你2000美金。活動僅限半小時!”

以上圖片內容均來自CertiK安全專家截圖

此次駭客攻擊始於區塊鏈行業,如Gemini交易所、Coinbase交易所、幣安交易所的CEO趙長鵬、Tron的CEO孫宇晨,區塊鏈媒體Coindesk,均受到攻擊併發布相關訊息。

以上圖片內容均來自CertiK安全專家截圖

後來索性在推特上呈現了病毒式傳播,包括比爾·蓋茨,亞馬遜創始人Jeff bezos, 彭博社創始人Bloomberg,蘋果官方賬號,特斯拉CEO Elon Musk, 著名歌手侃爺Kenye West、美國前總統奧巴馬和約瑟夫·拜登等人的賬號,無一倖免。

以上圖片內容均來自CertiK安全專家截圖

駭客攻擊了著名社交網站推特,一個大家都不怎麼相信就連美國前總統賬戶也會被黑的一個網站(雖然早就懷疑美國的現任總統早就被黑了)。利用了民眾對推特的信任以及名人的公信力,讓大家認為這次活動是真的。

到目前為止,駭客的賬戶一共收到了12.86個BTC,摺合美金118,209刀,人民幣825,805元。

駭客交易地址資訊截圖

目前網路上的謠言

1. Twitter員工賬戶被黑,駭客獲得管理後臺訪問許可權

在telegram上爆出的截圖疑似是Twitter員工的後臺管理介面。駭客可以透過後臺管理介面修改使用者郵箱,之後把重置密碼的連結傳送到自己控制的郵箱中,以此來取得目標賬戶的控制權。

2. 駭客利用最近爆出的漏洞攻擊Twitter伺服器,獲得管理後臺訪問許可權

在昨天,一個關於Windows的DNS伺服器的漏洞(CVE-2020-1350)被公開,攻擊者可以透過傳送特定的請求,從而遠端執行任意的程式碼。有人就此提出了這樣一個猜想:Twitter有一個公開的MS DNS伺服器,這個伺服器並沒有對CVE-2020-1350進行修復,攻擊者透過此漏洞獲取了該伺服器的控制權,而因為Windows DNS伺服器是核心網路元件,該漏洞可引發蠕蟲式傳播,且無需使用者互動和身份驗證,攻擊者由此進入了Twitter內部的後臺管理介面,然後透過該介面修改使用者郵箱,把重置密碼的連結傳送到自己控制的郵箱中,以此來取得目標賬戶的控制權。

Twitter官方迴應

目前各個賬戶被黑的原因還未被官方公開,推特也於北京時間當日凌晨5:45分進行了官方回覆,表示會盡快調查原因。

隨後Twitter 表示在調查期間,某些使用者的發推和重置密碼的功能可能會無法使用。

安全措施及建議

社交網站一兩個賬號被盜的事件也許經常有,但是大規模被駭客襲擊的事件,也許又能算作2020魔幻一年的大事記了。在這裡CertiK安全團隊整理了一些加強 Twitter賬戶安全的措施。

1. 取消被授權使用你Twitter賬戶的應用

登陸Twitter後,在More -> Settings and privacy -> Account -> Data and permissions -> Apps and sessions 裡面可以看到當前被授權獲取你Twitter相關許可權的應用和登陸了的Sessions。CertiK安全團隊推薦定期檢查被授權的Apps, 及時移除不必要的Apps. 登出可疑的Sessions.

2. 開啟二次驗證

登陸Twitter後,在More -> Settings and privacy -> Account -> Security -> Two-factor authentication介面開啟二次驗證,二次驗證的方法有手機簡訊, Google Authentication app,和物理形式的Security Key。使用二次驗證可以防止駭客在接觸到使用者的賬號密碼的情況下,盜取使用者賬號。

在安全上的投入不足

Twitter在HackerOne漏洞賞金平臺上面有設定漏洞賞金計劃(https://hackerone.com/twitter). 有人指出了Twitter對於Account takeover(賬號盜取)型別的漏洞,只給予7700美金的獎勵,而這次駭客利用此類漏洞,已經盜取了10萬美金以上的金額。這樣的對比,引人深思。

安全對於一個公司來講,沒被黑的時候覺得無所謂,不願意在安全上投入金錢。而真正在被黑之後,所造成的損失是不可計量的。

在這裡,CertiK的專家團隊想提醒大家,就算是推特這樣的”狠角色“,也可能會遭到駭客攻擊。所以不要過於相信某個專案有著百分之百的安全,一旦有了0.00000000000001%被攻擊的可能性,按照墨菲定律,也一定會發生。因此在安全上的投入,是必不可少的。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;