Twitter大規模黑客攻擊或將演變成全球安全危機

來源:新浪科技

據外媒報道,比特幣騙子不會是最後一個盜取認證賬户的人——我們應該保持警惕,因為還會有其他人來盜取我們的賬户。

一切皆在意料之中。

2020年7月15日的黑客攻擊事件,是Twitter公司歷史上最嚴重的一次安全破壞事件。無論公司最終怎麼講述這次事件,有一點必須承認,危機早在幾年前就已經開始醖釀。

從2018年春季開始,騙子已經在冒充知名加密貨幣愛好者伊隆·馬斯克(Elon Musk)。他們使用馬斯克的頭像,選擇一個相似的用户名,然後發佈一條彷彿天上掉餡餅一般的有效邀請:借給他一些加密貨幣,他會還你更多。有時候,詐騙者會回覆一個已經連接且經過認證的賬户(例如馬斯克的SpaceX),好讓假賬户看上去更真實。騙子還會通過殭屍網絡散播虛假推文,也是為了增加真實性。

2018年的事件讓我們看到三件事。第一,總會有人上當受騙,每一次有人上當受騙,都足以激發進一步詐騙;第二,Twitter對這種威脅的處理緩慢,遠不及該公司一早許下的會嚴肅對待這些問題的承諾;第三,詐騙者的需求與Twitter最初採取的反擊措施形成一場貓捉老鼠遊戲,進而鼓動不法分子採取更激進的行動來製造破壞。

於是就有了今天的最大規模攻擊事件。尼克·斯塔特(Nick Statt)報道説:

“大型公司和個人的Twitter賬户最近遭遇該平台上有史以來最大規模的黑客攻擊。所有攻擊都是為了推廣比特幣騙局,而且始作俑者似乎還從中賺到了一小筆錢。我們不知道攻擊是如何發生的,也不知道Twitter自己的系統受到多大程度的損害。黑客似乎已經消停,但認證賬號從東部時間下午四點開始陸續發佈新的詐騙推文,一直持續兩個多小時。沉默了一個多小時候,Twitter終於承認了黑客攻擊時間,東部時間5點45分的時候在公司的用户支持賬户上寫道:‘我們已經獲悉影響我們平台用户的安全事件。我們正在調查並積極採取措施應對攻擊。我們會盡快向大家提供最新信息。’”

包括前總統巴拉克·奧巴馬(Barack Obama),喬·拜登(Joe Biden),亞馬遜首席執行官傑夫·貝佐斯(Jeff Bezos),比爾·蓋茨(Bill Gates)和流行歌手坎耶·韋斯特(Kanye West)等人以及蘋果和優步等科技公司的認證帳户受到黑客攻擊。

但他們都是後來的事情。最早受到攻擊的名人賬户,是誰呢?伊隆·馬斯克,毫無疑問。

黑客攻擊的前幾個小時內,上當受騙的人們一共向黑客送上了11.8萬多美元。另外,黑客可能還訪問了大量的個人直接消息。更令人不安的是,黑客攻擊展開的速度和規模,還有更深層次的國家安全問題。

當然,最首要也是最顯著的一個問題是,攻擊的始作俑者是誰,他們是如何做到的?截至發稿時,我們還沒有答案。根據安全記者約瑟夫·考克斯(Joseph Cox)的報道,地下黑客社區的成員之間分享的屏幕截圖顯示,有人可以訪問Twitter內部用於管理賬户的工具。考克斯寫道:

“兩名地下黑客社區的信源向媒體提供了一個內部控制面板的屏幕截圖,據稱Twitter的員工就是使用這個內部控制面板管理用户賬户。一名消息人士稱,Twitter的這個控制面板也用來更改某些所謂OG賬户的所有權。Twitter已經刪除了這些控制面板的截圖,並暫停了發佈這些截圖的用户賬户,稱內容違反社區規則。”

繼續揣測難免顯得不負責任,但考克斯的報告至少已經説明這不是一起簡單普通的黑客攻擊事件。一種可能的情況是,黑客攻破了Twitter的內部工具;考克斯還提出了另一種可能,Twitter員工中有內鬼,參與了這次攻擊——若果真如此,那Twitter真是年內中彩兩次了。

但不管是哪種情況,Twitter對這次事件的回應帶來進一步的困擾。該公司最早就此事而發佈的推文基本沒提到任何實質性內容,兩小時後Twitter簡單地表示:公司已經禁用了認證賬户的發推功能,或者已經重置了他們的密碼,同時公司正在努力調查攻擊的根本原因。但是就在Twitter説明情況之前,許多用户已經被迫發現,他們發不出推文了。

政客、名人和國家新聞媒體這會都發不了推文倒是給Twitter省了些公關麻煩,雖然普通用户的調侃挺歡樂,但細想一下更嚴重的問題還在後頭。Twitter,無論好壞,始終是全球最重要的通信系統之一,它的用户中有很多與緊急醫療服務機構相關。例如,伊利諾伊州林肯國家氣象局在認證賬户被禁言前,剛剛發佈了一條龍捲風警告。那些依賴這個賬號瞭解龍捲風後續情況的用户們,這下可能要倒黴了。

當然,Twitter禁止認證賬户發言也是不得已為之。人們大概寧願國家氣象服務發不了推,也不會希望黑客把賬户賣給不法分子然後後者乘機登錄賬户發佈一些虛假信息,比如謊稱龍捲費席捲了美國各大城市等等。但是用這種笨拙的方法來解決問題——禁止35.9萬個認證賬户中的大部分賬户發佈消息——反映出這次事件的影響範圍之廣。

然後你不由得會想,如果下一次這麼幹的不是貪婪的比特幣騙子,而是國家級別的人物或者精神病患者,公司會採取什麼樣的應急措施。這次事件後,不難想象,如果有人控制了某個世界領導人的賬户然後試圖發動核戰爭,也未嘗沒有可能。

在這一點上,密蘇里州共和黨參議員喬什·霍利(Josh Hawley)在寫給Twitter首席執行官傑克·多西的信中提到的內容,十分能引起共鳴。霍利説:

“我擔心該事件不僅僅是一系列有計劃有預謀的獨立黑客攻擊事件,更是對Twitter自身安全性的一次成功攻擊。正如你所知,你的數百萬用户不僅依賴你的服務公開發布推文,也使用你的直接消息服務私下裏互相交流。對你係統服務器的成功攻擊將對所有用户的隱私與數據安全構成威脅。”

不過,霍利也沒有説全面。這裏,不僅是用户隱私和數據安全面臨威脅。更重要的是,Twitter上的冒名頂替和欺詐極有可能引起現實世界中的動亂。直到今天,我們已經看到這種假設已真實發生。隨着距離2020年大選只剩不到四個月時間,天知道到底會發生什麼。

接下來幾天,Twitter可能會調查安全事件的起因。該公司可能無法給出完全令人滿意的解釋。但重要的是,Twitter及時與公眾分享它對這次事件所瞭解到的一切——以及公司日後會採取哪些措施避免這樣的事情再次發生。(小白)

版權聲明:本文源自 網絡, 於,由 楠木軒 整理發佈,共 2527 字。

轉載請註明: Twitter大規模黑客攻擊或將演變成全球安全危機 - 楠木軒