一名入侵Twitter網(wǎng)站上Google Apps軟件并竊取超過300份私人公司文件的法國黑客日前透露了他作案的細節(jié)。根據(jù)TechCrunch的說法，這名黑客使用的是一種叫做"cracking"的方法，黑客以Hacker Croll的名字通過拖捕提供公開信息的網(wǎng)絡(luò)來攻破Twitter的安全防御系統(tǒng)。最終Croll發(fā)現(xiàn)了我們很多人都會犯下的一個錯誤--即在所有的網(wǎng)站都使用同樣的密碼，這樣Twitter網(wǎng)站就存在被攻擊的安全風(fēng)險。了解Hacker Croll是如何入侵安全系統(tǒng)的，想一想他的方法是否會讓你的數(shù)字生活不堪一擊。

Croll入侵Twitter

Hacker Croll首先是建立一個目標公司的簡歷，Twitter就是這樣淪為他的攻擊目標?；旧险f，他編制了一個員工，公司崗位和他們相關(guān)電子郵件地址的列表。在基本信息匯總完畢后，Croll為他的每一位員工用他們的生日，寵物姓名等信息建立了一個小型檔案。這些檔案建立完畢后，他只是去挨個去敲門直到有人相信他。

當他為Twitter員工的私人Gmail郵箱實施密碼恢復(fù)流程后，問題就這樣發(fā)生了。Croll發(fā)現(xiàn)與這名員工Gmail關(guān)聯(lián)在一起的次級帳戶是一個Hotmail郵箱。問題是Hotmial郵箱由于始終處于靜止狀態(tài)已經(jīng)被刪除和重復(fù)再用--這也是Hotail長期實行的政策。如今，Hacker Croll所有要做的事情就是為他自己重新注冊Hotmail郵箱，返回然后恢復(fù)Gmail密碼，然后Gmail會將密碼重設(shè)信息直接發(fā)送到犯罪分子重新激活的郵箱當中。但是事情到此并沒有結(jié)束。

Gmail會要求Hacker Croll重新設(shè)置Twitter網(wǎng)站上員工私人電子郵箱的密碼，然后Hacker Croll就這樣做了。但是如今原來的用戶被他們自己的郵箱賬號拒之門外，郵箱被標注上明顯的紅色小旗作為警告。因此Croll所做的就是搜索Gmail本身的郵箱賬號，查找此人其他活動服務(wù)的密碼。然后他鍵入他所發(fā)現(xiàn)的常用密碼，看看郵箱主人是否在正常使用他們的郵箱。目前Croll從屏幕背后訪問Gmail郵箱，還能訪問未經(jīng)發(fā)現(xiàn)的信息。為了讓使用起來更加方便，Twitter的員工通常在他們的業(yè)務(wù)郵箱和私人郵箱中使用同樣的登錄密碼，因此黑客就可以輕而易舉的入侵這兩個郵箱。

你會受到同樣的攻擊嗎？

令人擔憂的是Croll使用的方法可能在每個人身上都會發(fā)生。筆者上周檢查了自己的谷歌郵箱，發(fā)現(xiàn)自己也暴露在Twitter員工同樣的安全風(fēng)險之下。

筆者很久以前就注冊了Gmail賬號，已經(jīng)忘記了所有二級電子郵件地址的信息。就像Twitter的員工一樣，和Gmail關(guān)聯(lián)的二級電子郵件處于休眠狀態(tài)，可能會被任何人重新注冊。一切都改變了。筆者在自己的電子郵件中搜索用過的密碼，困惑的是反饋回來很多結(jié)果。使用你最常用的密碼在你的電子郵箱中進行搜索，看看結(jié)果會是什么。你可能會感到十分意外。但是黑客可能會有各種方法來獲取你的信息。

你曾經(jīng)在Twitter這樣的公共服務(wù)網(wǎng)站上收到過生日賀卡嗎？你曾經(jīng)向別人透露過電話號碼或者任何其他信息嗎？你的社交網(wǎng)站上有哪些信息？你的MySpace和Facebook帳戶關(guān)閉了嗎？或者任何人都可以在這些社交網(wǎng)站上通過搜索找到你嗎？你的Facebook網(wǎng)頁上有你的生日，你曾經(jīng)上學(xué)的學(xué)校和寵物的名字嗎？你母親的娘家姓名（這是一個常見的安全提問）會通過你的社交網(wǎng)站帳戶被發(fā)現(xiàn)嗎？你使用的其他服務(wù)都是什么？如果你認為比人發(fā)現(xiàn)這些信息的可能性不大，那么在你所謂的"Deep Web"搜索引擎（比如說Pipl或Spokeo）上搜索你自己的信息，看看會發(fā)生什么。你可能會發(fā)現(xiàn)你自己都完全忘記的網(wǎng)上賬戶。

類似的電子郵件安全

其他的問題是多數(shù)電子郵件服務(wù)使用的都是類似的密碼恢復(fù)方法。Hotmail和Gmial幾乎完全一樣。雅虎的郵箱甚至更加簡單，因為如果你告訴雅虎你無法訪問你的二級電子郵件賬號，你只需回答一個秘密問題即可。

在筆者對雅虎電子郵箱恢復(fù)網(wǎng)頁的測試中，筆者發(fā)現(xiàn)似乎你可以有無限次嘗試的機會去猜測雅虎電子郵件提問的秘密問題的答案。AOL Mail也好不到哪去，因為你可以選擇鍵入你的二級電子郵件或者鍵入你確切的生日外加文件的Zip代碼即可。ZIp代碼對于一些人可能很難攻破，但是并非完全沒有可能。如果你發(fā)現(xiàn)你暴露在Twitter這樣的漏洞風(fēng)險之下，將把它當做是你的叫醒電話吧。你必須定期檢查你的各種電子郵箱的安全設(shè)置，以便這些安全信息還在你的控制之列，因為這些信息可能是你在很久以前輸入的，很容易被遺忘。

要注意與你初始電子郵件地址關(guān)聯(lián)的二級電子郵件帳戶；對于安全提問設(shè)置一個只有你知道的答案；定期更換你的密碼，無論是自行更改還是通過GRC或者Strong Password Generator這樣的工具來隨機產(chǎn)生密碼。不要只使用一到兩個密碼，使用Clipperz, KeePass或者Yubic這樣的密碼管理器來記住你替換的密碼信息。但是或許最重要的是，在你自己的電子郵箱中搜索你使用的最常見的密碼，然后刪除這些信息。如果最糟糕的事情發(fā)生了，你的電子郵件帳戶正處在危險之中，你很對曾經(jīng)做過的一切感到高興。

【編輯推薦】

1. 近期安全回顧：Twitter遭遇瘋狂XSS Mac被病毒感染變僵尸