[[334294]]

7 月 20 日，據(jù)外媒報道，最新黑客攻擊曝光了社交媒體巨頭推特長期存在的安全漏洞，它始于幾乎每個網民都熟悉的過程，即密碼重置。研究顯示，推特員工可以重新設置用戶賬戶的個人密碼，查看個人數(shù)據(jù)，甚至可以代表用戶發(fā)送推文。

　　根據(jù)黑客、安全專家的說法，部分通過通常被稱為“社會工程”的方式操縱了推特員工，黑客已經能夠在用戶不知情的情況下更改 45 個賬戶密碼。長達數(shù)小時的攻擊使黑客得以控制許多知名人物的賬戶，包括民主黨總統(tǒng)候選人喬·拜登(Joe Biden)、特斯拉首席執(zhí)行官埃隆·馬斯克(Elon Musk)等人，實施加密貨幣敲詐勒索攻擊。

　　根據(jù)網絡安全專家的說法，這次相對平淡無奇的攻擊突顯了推特在安全方面面臨的持續(xù)挑戰(zhàn)。在過去的十年里，隨著推特從一家快速發(fā)展的初創(chuàng)公司成長為網絡政治和文化對話的重要組成部分，它一直無法有效地避免網絡入侵，這些攻擊比幾乎所有其他科技機構都更加關鍵和引人注目。

　　美國當?shù)貢r間上周三發(fā)生的黑客襲擊事件，是與內部人士侵入推特技術有關的第三起主要安全事件。該公司周五晚些時候提到，它正在與立法執(zhí)法部門合作，堅持研究上周的黑客攻擊，并正在探索提高安全性的長期選擇。推特在周六的一篇博文中提到：“我們感到十分尷尬，我們不再抱有幻想，我們感到非常抱歉。”

　　推特在其迄今對此次黑客攻擊的最全面描述中提到，黑客操縱了少量員工以進入內部設備。黑客共瞄準了 130 個賬戶，并重新設置了其中 45 個賬戶的密碼，使他們能夠發(fā)送推文。黑客還下載了 8 名推特用戶的私人信息，推特還沒有確定受影響的用戶身份，他們通過該平臺傳輸?shù)乃饺讼⒖赡軙缓诳拖螺d。

　　推特提到，信息下載沒有發(fā)生在任何所謂的“驗證賬戶”上。對于這些賬戶，Twitter 采取了額外的措施，將身份超級鏈接到用戶。 該公司提到，黑客可以通過內部工具查看電子郵件地址和手機號碼等私人數(shù)據(jù)。 在黑客下載客戶私人信息的情況下，他們可以利用推特提供給用戶的軟件訪問私人消息，以獲取這些數(shù)據(jù)。自那以后，該公司暫停了用戶使用該軟件的能力。

　　網絡公司 Unit 221b LLC 的首席分析官艾利森·尼克松(Allison Nixon)提到，這次攻擊似乎植根于一種互聯(lián)網亞文化，即黑客在令人垂涎的社交媒體賬戶中進行交易，特別是那些屬于名人的賬戶，或者在社交媒體早期注冊的賬戶。尼克松女士提到，周五一個名為 OGUsers 的互聯(lián)網市場出現(xiàn)了 2000 多個對話線程，提供市場上被盜的 Twitter 賬戶，有些賬戶的售價達到數(shù)萬美元。盡管大多數(shù)賬戶都處于休眠狀態(tài)，且創(chuàng)建它們的人并沒有認為它們被接管了。

　　此次黑客襲擊事件始于一天前在 Discord 上出現(xiàn)的在線討論，Discord 是一種受到狂熱游戲玩家和黑客青睞的互聯(lián)網聊天系統(tǒng)。據(jù)一名聊天中的參與者說，一名自稱柯克（Kirk）的黑客聲稱自己是推特的一名工作人員，他可能會進入上述賬戶。這名參與者稱自己對此感到“非常焦慮”。

　　安全研究員哈西布·阿旺(Haseeb Awan)是安全移動服務公司 Efani 的首席執(zhí)行官，他提到自己正在與“那些對此感到焦慮”的人溝通，并證實他參與了這起事件。阿旺提到，他通過一名黑客接觸了許多 Twitter 賬戶的賣家，這名黑客曾試圖侵入他的個人設備。

　　在回應“前所未有的焦慮”和網上分享的截圖時，柯克聲稱自己有進入推特內部軟件程序的權限，可以幫助用戶重新進入他們的賬戶。除了合同員工，熟悉推特運作的人也會使用這個軟件程序。目前還不清楚柯克是否屬于推特正式員工，但該公司的賬戶稱，黑客操縱了推特員工。

　　很快，一家附屬公司開始在 OGUsers 討論板內推廣賬戶，并為柯克提供經紀服務。這位人士提到，根據(jù)賬戶的聲譽高低，其出售的賬戶成本在 500 美元到 1 萬美元之間，類似@L的單字母賬戶顯然是無價的。阿旺提到，在這種亞文化中，像馬斯克這樣的高調賬戶的現(xiàn)金價值可能真的遠低于@L。

　　顧客將用比特幣支付費用，并提供一個電子郵件賬號，柯克會將其添加到推特設置中。這位自稱“非常焦慮”的人在一次互聯(lián)網聊天中提到：“用戶隨后會重新設置賬戶密碼，并實現(xiàn)進入，因為密碼在他們的電子郵件賬號上，柯克已經修改了密碼。”

　　有些被攻破的賬戶開始發(fā)推文要求比特幣捐款，并承諾將所有捐款翻一番。根據(jù)區(qū)塊鏈評估公司 Chainalysis 的數(shù)據(jù)，詐騙者獲得了 500 多筆資金轉移，總額超過 12.1 萬美元。

　　加密貨幣交易公司 Binance 觀察到，在黑客在其用戶名下方發(fā)布推文之前 30 分鐘，其賬戶電子郵件處理被修改為可疑處理。Binance 的發(fā)言人表示，無論是否啟用了雙重身份驗證，它都沒有從推特獲得電子郵件更改的通知。上述那位“非常焦慮”的人提到，他只撮合了休眠賬戶交易，沒有任何賬戶屬于活躍用戶，他也沒有參與比特幣敲詐。

　　在過去幾年里，低層員工特別容易受到外部關注的影響，他們可以進入推特的問題又出現(xiàn)了?？紤]到社交媒體平臺的影響，安全供應商 Altitude Networks 的首席執(zhí)行官邁克爾·科茨(Michael Coates)提到：“事實是，工作人員和內部設備都受到了關注，這可能只會加強一件事。”科茨在 2018 年之前始終擔任 Twitter 的首席數(shù)據(jù)安全官。

　　科茨的繼任者是邁克·科普蒂諾(Mike Convertino)，他于去年 12 月離開公司。推特尚未填補科普蒂諾留下的空白，這意味著該公司已經有大約七個月沒有首席數(shù)據(jù)安全官了。首席數(shù)據(jù)安全官是抵御網絡攻擊的最高級別高管。雖然通常與 Facebook 對比，但推特用于安全方面的資源要少得多，員工只有 Facebook 的十分之一，年收入只有后者的5%。推特每天有 1.66 億客戶，相比之下，F(xiàn)acebook 的日活躍用戶超過 20 億。

　　2009 年 1 月，黑客控制了當時當選總統(tǒng)巴拉克·奧巴馬(Barack Obama)的推特賬戶，并發(fā)送了一條消息，向當時超過 15 萬名追隨者提供 500 美元的免費汽油。聯(lián)邦貿易委員會（FTC）調查發(fā)現(xiàn)推特的數(shù)據(jù)安全存在“嚴重失誤”，幾乎沒有對公司員工可能做的事情進行控制。FTC 發(fā)現(xiàn)，任何員工都可以重新設置個人密碼，查看個人數(shù)據(jù)，甚至可以代表客戶發(fā)送推文。

　　自那以后，推特增加了網絡檢查和身份驗證，以防止外部人員訪問內部技術。此外，它還推出了一項“再認證”計劃，在整個過程中，推特經理每季度向員工授權，員工只能訪問他們真心想要的工作資源。

　　不過，中層員工未經授權進入個人賬戶或信息的問題一直存在。去年，聯(lián)邦檢察官指控兩名前推特工作人員充當外國政府特工，在社交媒體平臺上監(jiān)視一些批評沙特政府的人，并向利雅得提供非公開數(shù)據(jù)。2017 年，一名在推特工作的承包商短暫停用了特朗普總統(tǒng)的賬戶。

　　喬治敦學院法學教授、前聯(lián)邦貿易委員會官員大衛(wèi)·弗拉德克(David Vladeck)提到，最新的事件可能會吸引監(jiān)管機構的關注。他提到：“這看起來令人震驚。”FTC 的一位女發(fā)言人提到，該公司沒有觸及是否需要調查的具體問題。

　　上周，推特及其運營平臺的壓力加大。密蘇里州共和黨參議員喬希·霍利(Josh Hawley)周五給多西寫了一封信，詢問有關黑客攻擊的更多細節(jié)，以及該公司到目前為止是否考慮過額外嚴格的訪問管理措施，為何沒有實施這些措施。FBI 正在調查到底發(fā)生了什么。