Twitter 不安全，自家老板中招

摘要：

我们喜欢社交媒体，使用很多社交媒体应用，比如 Facebook、Twitter、微信和微博等。在网络上，社交媒体账号是我们的代言人，因此账号安全相当重要。近日，Twitter CEO 杰克·多西的推特账户被黑，连续发布多条种族主义言论，引起广泛关注。问题或许在于 Twitter 的设计是不安全的。

据外媒 Securityaffairs 报道，Twitter CEO 兼联合创始人杰克·多西的推特账户遭黑客入侵。黑客在控制该账户后，利用这个账号发布多条攻击性和种族主义的推文。

关于此事详情，可以查看笔者前篇文章《Twitter CEO 杰克·多西的推特账号被黑，黑客是如何得手的？》。

对杰克·多西来说，这种事情并不是第一次。2016 年，一群名为 OurMine 的黑客对杰克·多西进行了类似的攻击，允许他们在杰克·多西的推特账号上发帖。这个黑客团体曾经还接管了谷歌 CEO 桑达尔·皮查伊、Facebook CEO 马克·扎克伯格的社交媒体账号。

黑客利用 SIM 卡交换攻击，欺骗电信运营商，将用户的手机号码转移到犯罪分子的 SIM 卡上。一旦犯罪分子控制用户的手机号码，就能用它重置受害者的密码并登录他们的在线账户。通过控制杰克·多西的电话号码，黑客通过短信直接将推文发到他的推特账号上。

从另一个方面看，黑客屡次成功实施 SIM 卡交换攻击，或许在于 Twitter 的自身设计是不安全的。这话怎么说？

一篇《Twitter is Insecure by Design - Just Don’t Tell the President》的文章指出，Twitter 的产品设计是不安全的，其安全模型存在严重缺陷。 

Twitter 的安全模型存在严重缺陷

随着我们安全意识和隐私意识的增强，像双因素身份验证和安全钥匙等新的安全方式开始出现。当前，双因素身份验证已经是大多数人进入网站登录选项的核心部分，Twitter 就是其中之一。

当我们启用双因素身份验证时，除了密码，我们还指定了另一种身份识别方法。在过去，选择的第二个身份验证因素是 SIM 消息。如今，由于被称为 SIM 卡交换攻击的网络安全漏洞，SIM 消息不再受到欢迎。

现在，我们青睐更聪明的解决方案——最智能的解决方式是安全钥匙。安全钥匙是我们可以随身携带的专用硬件设备，将它插入我们的电脑用来证明是我们在登录而不是一些随机出现的攻击者。

Yubikey 是安全钥匙中的劳斯莱斯 让我们用它锁定 Twitter

我非常喜欢那些能提高安全和隐私的任何东西。所以，当我使用Yubikey 5 NFC保护我的推特账户时，我非常失望，因为 Twitter 并不真正支持安全钥匙。

如果尝试使用安全钥匙（例如 Yubikey）保护你的 Twitter 账户，会出现一些问题： 

当你在 Twitter 账户上启用双因素身份验证（2FA）时，Twitter 会坚持要求你注册手机。好，这是标准的方式，没有问题。这会成为第一种双因素身份验证——SMS 消息。

接下来，Twitter 会为你提供扩展双因素身份验证的选项，包括安全钥匙。两种双因素身份验证方式比一种方式好，尤其这种方式是 SMS 短信时。但是，这就是问题所在。

现在，你在账户中定义了安全钥匙，但需要禁用 SMS 消息。由于 SIM 卡交换攻击，SMS 消息是一种根本不安全的验证方法。因此，我们不想要 SMS 身份验证，我们更喜欢安全钥匙。

Twitter 的双因素身份认证选项，包括 SMS 消息

作为一种验证方法，Twitter 不会让你禁用 SMS 消息。你无法禁用它。如果你优先视安全钥匙认证为首选双因素身份验证方式，而不是 SMS 消息，那结果不会很坏。现在的情况是，你不能。

SMS 是默认设置，因此即使你在账户中启用安全钥匙，Twitter 也不会使用它。它会自动向你发送 SMS 身份验证消息。这真是“唱反调”。 

Twitter 双因素身份验证—SMS 或没有

当你尝试禁用 SMS 作为双因素身份验证方式时，它会禁用双因素身份验证。因此，即使已经使用专用安全钥匙保护 Twitter 账户，你在 Twitter 上进行双因素身份验证的选项是“SMS 身份验证”或“没有”。

Twitter 手机 APP 根本不支持安全钥匙，一点儿都不支持。这就是 Twitter 设计不安全的原因。

作为全球知名社交媒体应用，Twitter 用户超过 5 亿，日活跃用户数 1.26 亿。如果 Twitter 的自身设计不安全，那么意味着数亿用户账户均存在潜在的安全风险。作为一般网民，Twitter 账户被盗，乱发一些推文，影响还不是很大。如果是知名人物，那后果就很严重了。比如美国总统特朗普。特朗普在 Twitter 上有 6385 万粉丝，入驻白宫后，他一直勤于发推文，以致有人用“推特治国”来形容他。

相关文章：

https://www.smesecurity.com.au/blog/2019/8/22/twitter-is-insecure-by-design-just-dont-tell-the-president