当地时间15日,美国著名社交媒体推特(Twitter)多名知名人士账户被黑客盗用。其中包括奥巴马、拜登、比尔盖茨和特斯拉CEO马斯克,盗用者发布虚假信息称,只要向某个账户转账价值1000美元的比特币就会返还2000美元的比特币,据悉黑客至少获得了价值11.3万美元比特币的转账。
(黑客盗用盖茨账户发布的虚假信息)
一些前推特(TWTR)员工目睹了黑客入侵了推特一些最知名人士的账户,他们正试图弄清楚,如此惊人规模的攻击是如何发生的。当他们在一个封闭的松散群体中进行非正式调查时,这些前员工,包括一些曾是Twitter安全团队成员的人,正试图根据他们对社交网络内部协议和技术系统的了解,重建整个事件。
他们并不是唯一在寻找答案的人。国会议员、网络安全专家以及Twitter本身也是如此。联邦调查局也参与其中:官员们星期四说,他们正在调查这起事件,执法人员告诉媒体,联邦调查局正在审查社交媒体上流传的Twitter内部账户管理软件的截图。
到目前为止,该公司已经透露了一些重要线索。公司负责人说黑客攻击的目标是拥有行政特权的工人。一旦其中一些人被泄露,黑客利用他们获得内部控制的机会,在比尔·盖茨、坎耶·韦斯特、金·卡戴珊·韦斯特、沃伦·巴菲特等人拥有的账户下,发出推文宣传比特币诈骗。
根据Twitter的初步解释和流传的屏幕截图,这些前员工很快得出结论,黑客访问了一个内部称为“代理工具”或“Twitter服务用户界面”的管理平台。该内部工具旨在让员工处理客户支持请求并调整内容,一位熟悉Twitter安全的人士说。
据参与前员工讨论的一位人士透露,数百名Twitter员工可以使用代理工具。该人士说,这是一个功能强大的平台,可以显示Twitter用户在该公司注册后的手机号码,以及用户的地理位置和曾用于访问该账户的任何IP地址。
Twitter工具最敏感的功能之一是能够更改Twitter发送密码重置指令的电子邮件地址。这些前雇员说,可能发生的情况是,攻击者利用该工具更改与目标Twitter帐户相关的电子邮件地址,然后向黑客控制下的新电子邮件地址发送密码重置指令。一旦黑客能够修改用户密码,他们就可以像合法所有者一样登录Twitter帐户。
袭击可能就在那些账户被接管人眼皮底下发生的。许多社交媒体公司都将用户登录系统打造成无摩擦的,这意味着消费者很少在更改密码后注销应用程序。
原则上,双因素身份验证等安全技术旨在阻止未经授权的登录。但一个合法的用户名和一个用户发送的验证码都会被一个合法的用户名和一个验证码分开发送给一个用户。
这些前雇员说,在这种情况下,受害者账户上的任何双因素认证都可能被绕过。其中一位知情人士说,代理工具的功能之一是能够禁用双因素身份验证。(根据Soltani的说法,这类功能以及更改用户电子邮件地址的能力通常被公司用来帮助客户在失去手机或电子邮件访问权限时恢复其帐户。)
如果前雇员的理论是正确的,那么黑客在接管这些显赫的帐户时所要做的就是禁用双因素身份验证(如果启用了),更改密码重置的目标地址,然后秘密地更改受害者的密码并用新的凭据登录。
其中一位知情人士表示,有些事情代理工具不允许:例如,平台不直接授予用户直接消息内容的访问权。但通过以合法所有者的身份登录帐户,黑客仍然可以访问这些消息。Twitter表示,没有证据显示密码被盗,但仍在调查“非公开数据”是否遭到泄露。
虽然这次攻击的性质越来越清楚,但仍然是个谜,那就是黑客最初是如何获得代理工具的。
据这些前雇员透露,至少还有两层保护措施。在正常情况下,代理工具只能在员工连接到公司内部网时访问,这意味着他们必须实际在办公室或通过VPN登录到网络。而要登录代理工具本身,员工必须提供自己的公司用户名和密码。
几位前雇员说,目前还不清楚新冠疫情是否导致了远程工作政策,使得登录代理工具更加容易。他们承认,虽然这是可能的,但没有证据表明Twitter放松了安全性,以适应在家工作。Twitter拒绝就其远程工作政策置评。
一位前员工说,即使在代理工具中,员工在公司内的角色也可以限制他们可以访问哪些用户帐户。例如,一个工作是处理记者的支持请求的人可以访问记者帐户,但可能不能访问其他帐户。这些限制可能有助于解释为什么黑客攻击了众多Twitter员工。
这两位前员工说,由于Twitter保留着员工的活动记录,追踪哪些员工账户访问了VIP账户将是一项微不足道的任务。一个更困难的挑战——可能需要执法部门的帮助——将是确定这些员工自己是否有意参与其中,或者他们是否只是被外部黑客当作不知情的帮凶。
