掌管着全世界數億個 Twitter 賬號密碼的 Twitter CEO 傑克·多西(Jack Dorsey)一定想不到,自己的 Twitter 賬户竟然也被黑了。
(圖自:wsj)
這次的“兇手”依然是那個名為 “OurMine” 的三人黑客團隊。OurMine 之前已經成功黑過 Facebook CEO 馬克·Mark Zuckerberg和 Google CEO 桑達爾·皮扎伊的 Twitter 賬户。
OurMine 在破解了多西的 Twitter 賬號和密碼之後,先是用他的賬號推了幾個“無公害”的視頻片段,接着又發了一句話:
引用Hey, its OurMine, we are testing your security.
(圖自:twitter)
當然,這條文字被很快刪除。不過,由於那些被推出來的視頻都是來自於 Vine(Twitter 旗下的短視頻應用),所以很有可能是多西在 Vine 上使用了與 Twitter 相同的密碼,或者説是其他相關的賬號被盜取,從而被 OurMine 套用在 Twitter 上併成功破解。
為什麼又是 Twitter ?
OurMine 團隊陸續黑了三個重要科技人物的 Twitter 賬號,除了讓人對 OurMine 的目的進行質疑以外,還想知道為什麼他們的 Twitter 賬户會被盜取。
原因也許很簡單:因為他們在不同的網絡賬號上使用了相同的密碼。
6 月初發生的Mark Zuckerberg Twitter 賬户被盜事件,其實是因為 OurMine 首先獲得了小紮在 LinkedIn 上的泄露數據,並且破解了 SHA1 加密過的密碼。然後黑客再利用這些數據,成功進入到小扎的 Twitter。令人大跌眼鏡的是,小扎的密碼竟然是“dadada”。
(圖自:onedio)
Google CEO 皮扎伊的 Twitter 賬號被黑與之類似。OurMine 先通過 Quora 平台上的一個漏洞獲得了密碼;然後又通過 Quora 密碼在 Twitter 上試了一下,結果竟然登錄成功。
至於多西的,十有八九與也 Vine 有關。
除了這些比較顯眼的賬户被黑事件,最近 Twitter 還有一次大規模的賬號泄露。
據報道,同樣是在 6 月,有超過 3200 萬 Twitter 用户的登錄信息在“暗網”出售,包括用户名、郵箱地址和明文密碼等。不過據 Twitter 調查稱,這些信息可能是之前一系列社交網絡被黑事件所致,也有部分是惡意軟件從用户那裏收集到的數據。
愛範兒(微信 ID:ifanr)此前曾經報道,為了保護這些出現在“暗網”上的賬號,Twitter 對出現在“暗網”上的賬户信息進行了核查並提前鎖定,同時給相關用户發送了郵件通知。
(圖自:appmobi)
但是在 Twitter 信息安全部門負責人 Michael Coates 看來,在不同網站使用相同密碼依然是賬户安全風險的主要原因。他説:
引用最近來自於部分網站的數據泄露,實際上已經對所有的網站造成了威脅。那些攻擊者將用户名、郵箱、密碼等信息挖掘出來,然後在其他各大網站進行“撞庫”嘗試。所以那些在多個網站使用相同賬號密碼的用户賬户極易被黑客控制。
OurMine 到底是什麼鬼?
憑藉這幾次奪人眼球的 Twitter 賬號控制,OurMine 在最近一兩個月也算是出盡風頭。那麼 OurMine 到底是一個什麼樣的所在?
有一點可以確定的是,OurMine 黑掉別人的賬號密碼不是為了威脅或恐嚇,也看不到什麼實際的利益。它不修改密碼,通常會在被黑的賬號上發表一個聲明稱是在測試賬號的安全,然後坐等聲明被刪,賬號被官方恢復。
OurMine 有一個以 .org 為域名後綴的網站,看起來似乎是一個非盈利組織。但是在打開網站之後,卻看到這樣的頁面:
(圖自:OurMine)
簡單來説,它為個人和公司提供付費的賬户安全測試服務,價格從 30 美元到 5000 美元不等。如果不成功的話,還可以退款。
這是赤裸裸的商業行為。
但是在《連線》雜誌的一次線上匿名採訪中,OurMine 的其中一員卻堅持認為 OurMine 只是為了警醒用户。他説:
引用我們不需要錢,我們之所以提供安全服務,是因為很多用户需要它。我們不是黑帽黑客,我們是一個安全團隊。我們想告訴大家沒有人是安全的。當被問到是否有人購買網站上的安全服務的時候,那個匿名受訪者稱他們已經收到了 18400 美元,並提供了一張 5000 美元的訂單截圖。訂單上寫的是來自 Conversely 公司 和 TruthFinder 公司的支付。但是後來當《連線》向 Conversely 求證的時候,Conversely 卻説根本沒有這回事。
(圖自:OurMine)
除了上述服務,OurMine 的網站上還開闢出一個專門的板塊來發布一些重點賬號被黑的消息,顯得非常高調。那麼,既然 OurMine 的目標是為了提醒安全,那麼為什麼不私下通知那些被黑的賬户呢?
這位匿名受訪者回答説:
引用他們忽略了我們,所以我們只能證明給他們看。我們沒有做錯。
題圖來自:willowridgesecurity
資料來源:愛範兒(ifanr)
請按此登錄後留言。未成為會員? 立即註冊