写点什么

Twitter CEO 杰克·多西的推特账号被黑,黑客是如何得手的?

  • 2019-09-02
  • 本文字数:1873 字

    阅读完需:约 6 分钟

Twitter CEO杰克·多西的推特账号被黑,黑客是如何得手的?

摘要:

在网络上,没有任何人是安全的。从普通网民到公司 CEO,网络安全威胁无处不在。一家全球知名互联网公司,公司创始人兼 CEO 的 Twitter 账户遭黑客入侵并被控制,连续发布多条不当言论,引起诸多网友关注和媒体报道。



据外媒Securityaffairs报道,Twitter CEO 兼联合创始人杰克·多西的推特账户遭黑客入侵。黑客在控制该账户后,利用这个账号发布多条攻击性和种族主义的推文。


据悉,从上周五下午 3:45(美东部时间)开始,杰克·多西的账号在短短 15 分钟内,连续发布近二十二条推文和转推,都是高度攻击性和种族主义的言论。并且其中一条推文有关炸弹威胁。


而另外一些推文被标记为 #ChucklingSquad,这是一个黑客群体的名字。除了杰克·多西,Chuckling Squad 最近对高调的 Twitter 账户进行了多次攻击,其中包括美女视频博客詹姆斯·查尔斯以及 Youtube 名人 Desmond Amofah 的账户。



Twitter 表示,自己的系统没有受到损害,而是指责一家未透露姓名的移动运营商。


“在移动运营商的安全监视下,与这个账户相关的电话号码遭到劫持。它允许未经授权的人,通过电话号码来撰写短信和发布推文。目前,这个问题已经得到解决。”Twitter 在一份声明中说。



Securityaffairs 认为,这次黑客入侵,控制杰克·多西的账户有两种情况:


一是,攻击者入侵了 CloudHopper(CloudHopper 是一家被推特收购的公司,它允许用户使用短信发送推文)的基础设施系统;二是杰克·多西遭受 SIM 卡交换攻击,黑客利用它们控制的一个电话号码取代了他的,并用它来发送有关种族主义推文的短信。


《纽约时报》披露,杰克·多西的推特账户被黑客利用 SIM 卡交换攻击所控制。


SIM 卡交换攻击(或 SIM 卡交换技术)通过欺骗电信运营商,将目标用户的手机号码转移到犯罪分子的 SIM 卡上。一旦犯罪分子控制目标用户的手机号码,就能利用它来重置受害者的密码并登录他们的在线账户。


公开资料表明,SIM 卡交换技术是一种复杂的社会工程学攻击,犯罪分子会收集特定目标用户的身份识别信息,以便向运营商证明“我就是你”。因此,在这种情况下,即使账户受到双因素身份验证保护,这种攻击方法仍然有效。


一篇《大规模的SIM卡交换诈骗趋势已经形成》文章则指出,SIM 卡交换是一个引导电信供应商的过程,比如 T-Mobile 将被攻击目标的手机号码转移到攻击者所持有的 SIM 卡上。一旦黑客收到手机号码,他们就可以用来重置受害者的密码并侵入他们的账户。


由此看来,黑客控制了杰克·多西的电话号码,通过短信直接将推文发到他的推特账号上。


当然,对杰克·多西来说,这种事情并不是第一次。2016 年,一群名为 OurMine 的黑客对杰克·多西进行了类似的攻击,允许他们在杰克·多西的推特账号上发帖。这个黑客团体曾经还接管了谷歌CEO 桑达尔·皮查伊、Facebook CEO 马克·扎克伯格的社交媒体账号。


CNN 针对用户推特账户安全,提出了两大建议:

1.使用验证码

首先,最好一直使用双因素身份验证,作为额外的验证步骤,它能在常规密码之外确认你的身份。但是,即使是双因素身份认证,也无法保护你免受 SIM 卡交换攻击。因为并非所有验证都是有效的,黑客可以拦截通过短信发送的验证码,让它失去用处。


幸运的是,Twitter 提供了几种更安全的验证方法。你可以使用谷歌身份验证器 APP,它可以为你提供代码,而黑客则需要你的手机来获取代码。


或者,你可以使用物理安全令牌,它是你可以单独购买的一个小硬件,能生成安全代码。黑客一般需要在物理上窃取该密钥才能访问账户。

2.替换电话号码

现在看,关闭“用短信从账户发推文”的功能的唯一方法是从 Twitter 删除你的电话号码。但是,这有一个问题:这样做会禁用你账户的双因素身份验证。


如果是在美国,你可以尝试用 Google Voice 生成的号码代替你的电话号码。因为 Google 语音电话号码不是由移动运营商管理,也没有任何黑客可以通过谈话来帮助他们控制你的电话号码。


在网络上,一个账号代表的是一个人,账号言论反映出他的想法,也是一种现实行为在网络世界的映射。如果一个人每天在社交账号上谈论一些好的东西,突然有一天,他的账号发布一些糟糕的东西,比如种族主义等。那么,这种事情必然引起很大关注。尤其是对公司 CEO 和创始人来说,如果社交账号被黑客控制,发布一些不当言论,这会造成非常糟糕的结果。


相关文章:


https://securityaffairs.co/wordpress/90598/hacking/jack-dorsey-account-hacked.html


https://www.news4jax.com/tech/twitters-ceo-was-hacked-heres-how-to-safeguard-your-account?utm_source=twitter&utm_medium=social&utm_campaign=snd&utm_content=wjxt4


https://www.bbc.com/news/technology-49532244


2019-09-02 14:533237

评论

发布
暂无评论
发现更多内容

vivo互联网机器学习平台的建设与实践

vivo互联网技术

人工智能 机器学习 推荐系统

算数、赋值、比较、逻辑、三元运算符

共饮一杯无

Java 运算符 10月月更

如何在 SAP BTP 平台上重用另一个已经开发好的 service

汪子熙

云原生 SaaS 云平台 SAP 10月月更

MobPush iOS端常见问题

MobTech袤博科技

ios

前端线下面授培训机构该怎么选择?

小谷哥

打破“双十定律”,华为云AI推动超级抗菌药Drug X研发加速

华为云开发者联盟

AI 华为云 药物研发 盘古大模型 企业号十月 PK 榜

SeaTunnel连接器V1到V2的架构演进与探究

Apache SeaTunnel

API 数据集成 连接器 Apache SeaTunnel 数据集成平台

如何用AR Engine环境Mesh能力实现虚实遮挡

HarmonyOS SDK

AR

年底前端面试题总结(上)

loveX001

JavaScript

Qt | Qt的动画框架和类

YOLO.

qt 10月月更 C++

上岸稳了!GitHub标星115k+的阿里内部Java学习教程限时开源

Geek_0c76c3

Java 数据库 程序员 架构 开发

大数据学习培训机构怎么去选择

小谷哥

Qt | 深入了解Qt的委托类

YOLO.

qt 10月月更 C++

初学大数据培训学习入门

小谷哥

大数据ELK(二十一):Logstash简介和安装

Lansonli

Logstash 10月月更

谈谈前端性能优化-面试版

loveX001

JavaScript

Python进阶(十)Python 编程规范

No Silver Bullet

Python 编程规范 10月月更

LinkedList源码分析(四)

知识浅谈

linkedlist 10月月更

两数之和

掘金安东尼

算法 10月月更

搜索中常见数据结构与算法探究(一)

京东科技开发者

数据结构 ES 哈希 数据结构算法 搜索算法

前端培训学习的就业前景是什么样的

小谷哥

AndroidStudio最新版(2021.1.21)编译C++代码生成so文件

中国好公民st

c++ Android; 10月月更

web3 chainlink 预言机喂价、VRF

1_bit

智能合约 web3 chanlink

研发效能领域的“百科全书”重磅来袭!

博文视点Broadview

全网首发“Java面试考点大全”,25+专题梳理:JVM+多线程+Spring全家桶+MySQL+Redis等

Geek_0c76c3

Java 数据库 程序员 架构 面试

Java数据类型转换

共饮一杯无

Java 类型转换 10月月更

数字化转型:营销数字化

Taylor

数字化 营销数字化 客户数据平台 CDP 营销数据中台

又一里程碑!阿里首推Java面试通关手册,必须人手一份!

Geek_0c76c3

Java 数据库 程序员 架构 面试

STM32L051测试 (二、开始添加需要的代码)

矜辰所致

stm32 STM32CubeMX 10月月更

小程序运营怎么做?

源字节1号

软件开发 前端开发 后端开发 小程序开发

web前端技术培训学习好点

小谷哥

Twitter CEO杰克·多西的推特账号被黑,黑客是如何得手的?_安全_万佳_InfoQ精选文章