快手、孩子王、华为等专家分享大模型在电商运营、母婴消费、翻译等行业场景的实际应用 了解详情
写点什么

Twitter 不安全,自家老板中招

  • 2019-09-03
  • 本文字数:1806 字

    阅读完需:约 6 分钟

Twitter不安全,自家老板中招

摘要:

我们喜欢社交媒体,使用很多社交媒体应用,比如 Facebook、Twitter、微信和微博等。在网络上,社交媒体账号是我们的代言人,因此账号安全相当重要。近日,Twitter CEO 杰克·多西的推特账户被黑,连续发布多条种族主义言论,引起广泛关注。问题或许在于 Twitter 的设计是不安全的。



据外媒 Securityaffairs 报道,Twitter CEO 兼联合创始人杰克·多西的推特账户遭黑客入侵。黑客在控制该账户后,利用这个账号发布多条攻击性和种族主义的推文。


关于此事详情,可以查看笔者前篇文章《Twitter CEO 杰克·多西的推特账号被黑,黑客是如何得手的?》


对杰克·多西来说,这种事情并不是第一次。2016 年,一群名为 OurMine 的黑客对杰克·多西进行了类似的攻击,允许他们在杰克·多西的推特账号上发帖。这个黑客团体曾经还接管了谷歌 CEO 桑达尔·皮查伊、Facebook CEO 马克·扎克伯格的社交媒体账号。


黑客利用 SIM 卡交换攻击,欺骗电信运营商,将用户的手机号码转移到犯罪分子的 SIM 卡上。一旦犯罪分子控制用户的手机号码,就能用它重置受害者的密码并登录他们的在线账户。通过控制杰克·多西的电话号码,黑客通过短信直接将推文发到他的推特账号上。


从另一个方面看,黑客屡次成功实施 SIM 卡交换攻击,或许在于 Twitter 的自身设计是不安全的。这话怎么说?


一篇《Twitter is Insecure by Design - Just Don’t Tell the President》的文章指出,Twitter 的产品设计是不安全的,其安全模型存在严重缺陷。 

Twitter 的安全模型存在严重缺陷

随着我们安全意识和隐私意识的增强,像双因素身份验证和安全钥匙等新的安全方式开始出现。当前,双因素身份验证已经是大多数人进入网站登录选项的核心部分,Twitter 就是其中之一。


当我们启用双因素身份验证时,除了密码,我们还指定了另一种身份识别方法。在过去,选择的第二个身份验证因素是 SIM 消息。如今,由于被称为 SIM 卡交换攻击的网络安全漏洞,SIM 消息不再受到欢迎。


现在,我们青睐更聪明的解决方案——最智能的解决方式是安全钥匙。安全钥匙是我们可以随身携带的专用硬件设备,将它插入我们的电脑用来证明是我们在登录而不是一些随机出现的攻击者。

Yubikey 是安全钥匙中的劳斯莱斯 让我们用它锁定 Twitter


我非常喜欢那些能提高安全和隐私的任何东西。所以,当我使用Yubikey 5 NFC保护我的推特账户时,我非常失望,因为 Twitter 并不真正支持安全钥匙。


如果尝试使用安全钥匙(例如 Yubikey)保护你的 Twitter 账户,会出现一些问题: 



当你在 Twitter 账户上启用双因素身份验证(2FA)时,Twitter 会坚持要求你注册手机。好,这是标准的方式,没有问题。这会成为第一种双因素身份验证——SMS 消息。


接下来,Twitter 会为你提供扩展双因素身份验证的选项,包括安全钥匙。两种双因素身份验证方式比一种方式好,尤其这种方式是 SMS 短信时。但是,这就是问题所在。


现在,你在账户中定义了安全钥匙,但需要禁用 SMS 消息。由于 SIM 卡交换攻击,SMS 消息是一种根本不安全的验证方法。因此,我们不想要 SMS 身份验证,我们更喜欢安全钥匙。

Twitter 的双因素身份认证选项,包括 SMS 消息

作为一种验证方法,Twitter 不会让你禁用 SMS 消息。你无法禁用它。如果你优先视安全钥匙认证为首选双因素身份验证方式,而不是 SMS 消息,那结果不会很坏。现在的情况是,你不能。


SMS 是默认设置,因此即使你在账户中启用安全钥匙,Twitter 也不会使用它。它会自动向你发送 SMS 身份验证消息。这真是“唱反调”。 


Twitter 双因素身份验证—SMS 或没有

当你尝试禁用 SMS 作为双因素身份验证方式时,它会禁用双因素身份验证。因此,即使已经使用专用安全钥匙保护 Twitter 账户,你在 Twitter 上进行双因素身份验证的选项是“SMS 身份验证”或“没有”。



Twitter 手机 APP 根本不支持安全钥匙,一点儿都不支持。这就是 Twitter 设计不安全的原因。


作为全球知名社交媒体应用,Twitter 用户超过 5 亿,日活跃用户数 1.26 亿。如果 Twitter 的自身设计不安全,那么意味着数亿用户账户均存在潜在的安全风险。作为一般网民,Twitter 账户被盗,乱发一些推文,影响还不是很大。如果是知名人物,那后果就很严重了。比如美国总统特朗普。特朗普在 Twitter 上有 6385 万粉丝,入驻白宫后,他一直勤于发推文,以致有人用“推特治国”来形容他。


相关文章:


https://www.smesecurity.com.au/blog/2019/8/22/twitter-is-insecure-by-design-just-dont-tell-the-president


2019-09-03 14:592918

评论

发布
暂无评论
发现更多内容

重磅启动!第 17 届「中国 Linux 内核开发者大会」征稿

OpenAnolis小助手

Linux 征稿 内核 开发者大会 龙蜥社区

数据库高可靠,轻松解决事务丢失问题

天翼云开发者社区

为什么C++能屹立这么久?细说C++ 可以开发的 7 件事 以及 C++ 的特点和学习的优点

C++后台开发

c++ C/C++ C++后台开发 C++开发 C++开发工程师

2022世界人工智能大会开幕,天翼云注智城市数字化转型

天翼云开发者社区

跳槽一次能涨多少?一份1500道大厂面试题笔记就够了,涨薪80%

程序知音

Java 程序员 java面试 后端技术 Java八股文

Chrome操作指南——入门篇(二)

Augus

Chrome开发者工具 9月月更

打造国云安全品牌,铸牢企业云上安全防线

天翼云开发者社区

web前端培训课程哪家好

小谷哥

墨天轮沙龙 | 庚顿数据姚羽:实时数据技术赋能流程工业,保障业务连续性

墨天轮

数据库 国产数据库 实时数据库

Chrome操作指南——入门篇(四) command

Augus

Chrome开发者工具 9月月更

一键小程序转换App,极低门槛实现组装式App

FinClip

[MyBatisPlus]id生成策略控制

十八岁讨厌编程

Java spring 9月月更

车联网该怎样跳过车企设置的红线

Geek_99967b

小程序

云行| 天翼云中国行走进宁波,推动千行百业迈向数字化转型之路

天翼云开发者社区

小程序容器,让你快速控制智能家居

Geek_99967b

小程序 小程序容器

忘记背后,努力面前【开学季flag】

Fire_Shield

程序人生 9月月更 开学季

零基础学习大数据还是自学呢

小谷哥

大数据开发入门学习方法推荐

小谷哥

多因素身份认证 (MFA) 插件:手机验证码认证因素配置流程

龙归科技

开源 手机验证码认证

物联网平台在AIoT领域8大场景应用

AIRIOT

低代码 物联网 低代码平台 低代码,项目开发

web前端培训开发技术前景怎么样?

小谷哥

本周四晚19:00知识赋能第八期第1课丨ArkUI框架整体设计

OpenHarmony开发者

OpenHarmony

小程序转 App 帮助中小企业打开营销新窗口

FinClip

[MyBatisPlus]乐观锁、代码生成器

十八岁讨厌编程

Java 后端开发 9月月更

Chrome操作指南——入门篇(三)

Augus

Chrome开发者工具 9月月更

大数据生态安全框架的实现原理与最佳实践(下篇)

明哥的IT随笔

大数据 hdfs hive 数据安全

Java 将 Word 转换为PDF文档

在下毛毛雨

Java PDF word Word转PDF

研发效能提升不来自于度量本身,而来自于针对性的改进

万事ONES

如何深入学习前端培训技术知识

小谷哥

天翼云铸牢国云安全,护航千行百业

天翼云开发者社区

[MyBatisPlus]映射匹配兼容性

十八岁讨厌编程

Java 后端开发 9月月更

Twitter不安全,自家老板中招_安全_万佳_InfoQ精选文章