HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

Twitter 不安全,自家老板中招

  • 2019-09-03
  • 本文字数:1806 字

    阅读完需:约 6 分钟

Twitter不安全,自家老板中招

摘要:

我们喜欢社交媒体,使用很多社交媒体应用,比如 Facebook、Twitter、微信和微博等。在网络上,社交媒体账号是我们的代言人,因此账号安全相当重要。近日,Twitter CEO 杰克·多西的推特账户被黑,连续发布多条种族主义言论,引起广泛关注。问题或许在于 Twitter 的设计是不安全的。



据外媒 Securityaffairs 报道,Twitter CEO 兼联合创始人杰克·多西的推特账户遭黑客入侵。黑客在控制该账户后,利用这个账号发布多条攻击性和种族主义的推文。


关于此事详情,可以查看笔者前篇文章《Twitter CEO 杰克·多西的推特账号被黑,黑客是如何得手的?》


对杰克·多西来说,这种事情并不是第一次。2016 年,一群名为 OurMine 的黑客对杰克·多西进行了类似的攻击,允许他们在杰克·多西的推特账号上发帖。这个黑客团体曾经还接管了谷歌 CEO 桑达尔·皮查伊、Facebook CEO 马克·扎克伯格的社交媒体账号。


黑客利用 SIM 卡交换攻击,欺骗电信运营商,将用户的手机号码转移到犯罪分子的 SIM 卡上。一旦犯罪分子控制用户的手机号码,就能用它重置受害者的密码并登录他们的在线账户。通过控制杰克·多西的电话号码,黑客通过短信直接将推文发到他的推特账号上。


从另一个方面看,黑客屡次成功实施 SIM 卡交换攻击,或许在于 Twitter 的自身设计是不安全的。这话怎么说?


一篇《Twitter is Insecure by Design - Just Don’t Tell the President》的文章指出,Twitter 的产品设计是不安全的,其安全模型存在严重缺陷。 

Twitter 的安全模型存在严重缺陷

随着我们安全意识和隐私意识的增强,像双因素身份验证和安全钥匙等新的安全方式开始出现。当前,双因素身份验证已经是大多数人进入网站登录选项的核心部分,Twitter 就是其中之一。


当我们启用双因素身份验证时,除了密码,我们还指定了另一种身份识别方法。在过去,选择的第二个身份验证因素是 SIM 消息。如今,由于被称为 SIM 卡交换攻击的网络安全漏洞,SIM 消息不再受到欢迎。


现在,我们青睐更聪明的解决方案——最智能的解决方式是安全钥匙。安全钥匙是我们可以随身携带的专用硬件设备,将它插入我们的电脑用来证明是我们在登录而不是一些随机出现的攻击者。

Yubikey 是安全钥匙中的劳斯莱斯 让我们用它锁定 Twitter


我非常喜欢那些能提高安全和隐私的任何东西。所以,当我使用Yubikey 5 NFC保护我的推特账户时,我非常失望,因为 Twitter 并不真正支持安全钥匙。


如果尝试使用安全钥匙(例如 Yubikey)保护你的 Twitter 账户,会出现一些问题: 



当你在 Twitter 账户上启用双因素身份验证(2FA)时,Twitter 会坚持要求你注册手机。好,这是标准的方式,没有问题。这会成为第一种双因素身份验证——SMS 消息。


接下来,Twitter 会为你提供扩展双因素身份验证的选项,包括安全钥匙。两种双因素身份验证方式比一种方式好,尤其这种方式是 SMS 短信时。但是,这就是问题所在。


现在,你在账户中定义了安全钥匙,但需要禁用 SMS 消息。由于 SIM 卡交换攻击,SMS 消息是一种根本不安全的验证方法。因此,我们不想要 SMS 身份验证,我们更喜欢安全钥匙。

Twitter 的双因素身份认证选项,包括 SMS 消息

作为一种验证方法,Twitter 不会让你禁用 SMS 消息。你无法禁用它。如果你优先视安全钥匙认证为首选双因素身份验证方式,而不是 SMS 消息,那结果不会很坏。现在的情况是,你不能。


SMS 是默认设置,因此即使你在账户中启用安全钥匙,Twitter 也不会使用它。它会自动向你发送 SMS 身份验证消息。这真是“唱反调”。 


Twitter 双因素身份验证—SMS 或没有

当你尝试禁用 SMS 作为双因素身份验证方式时,它会禁用双因素身份验证。因此,即使已经使用专用安全钥匙保护 Twitter 账户,你在 Twitter 上进行双因素身份验证的选项是“SMS 身份验证”或“没有”。



Twitter 手机 APP 根本不支持安全钥匙,一点儿都不支持。这就是 Twitter 设计不安全的原因。


作为全球知名社交媒体应用,Twitter 用户超过 5 亿,日活跃用户数 1.26 亿。如果 Twitter 的自身设计不安全,那么意味着数亿用户账户均存在潜在的安全风险。作为一般网民,Twitter 账户被盗,乱发一些推文,影响还不是很大。如果是知名人物,那后果就很严重了。比如美国总统特朗普。特朗普在 Twitter 上有 6385 万粉丝,入驻白宫后,他一直勤于发推文,以致有人用“推特治国”来形容他。


相关文章:


https://www.smesecurity.com.au/blog/2019/8/22/twitter-is-insecure-by-design-just-dont-tell-the-president


2019-09-03 14:592958

评论

发布
暂无评论
发现更多内容

华为云CDN,助力安全企业下载服务,更好提升用户体验

路过的憨憨

即时通讯软件WorkPlus助力政企应用快速移动化

WorkPlus

存储数据如何更省钱?华为云告诉你!

清欢科技

还在为数据存储而烦恼?不妨进来看看华为云对象存储服务OBS

清欢科技

女生通过java编程学习好找工作吗?

小谷哥

大数据培训学习有前途吗?

小谷哥

既要速度与激情,也要稳定和安全,华为云CDN让你速度和安全兼得

路过的憨憨

什么是云仿真,云仿真平台有哪些好处

3DCAT实时渲染

虚拟仿真 实时云渲染 云仿真 三维仿真

敏捷技术实践之重构

华为云PaaS服务小智

云渲染和自己的电脑渲染哪个好?

Renderbus瑞云渲染农场

云渲染

不止于大,华为云对象存储服务OBS的全能一面

清欢科技

海量、安全、高可靠的华为云对象存储服务OBS,助力企业数据存储降本提效

清欢科技

大数据培训后的就业因素有哪些

小谷哥

什么是3D可视化,为什么要使用3D可视化

3DCAT实时渲染

Unity 3D渲染 3D可视化

架构中实时引擎与离线渲染的主要优势

3DCAT实时渲染

Unity 渲染 实时渲染 AEC

FL STUDIO2023最新版本号21新变化

茶色酒

FL STUDIO20.9 FL Studio FL Studio 21

前端开发培训机构有什么推荐?

小谷哥

中国电信发布《天翼云安全白皮书》 打造高质量云网安全保障体系

Geek_2d6073

模块二作业-分析微信朋友圈的高性能复杂度

Geek_e3a35c

【从零开始学爬虫】采集全国历史天气数据

前嗅大数据

数据采集 爬虫软件 爬虫教程 爬虫入门 爬虫入门教程

华为云CDN提升网站响应速度,让下载快人一步

路过的憨憨

2022“易观之星”奖项公布,聚焦数字经济,助力数智创新

易观分析

金融 易观 颁奖

RayLink测评 | 完全免费,功能超越同类付费远程控制软件!!

RayLink远程工具

远程控制软件 远程办公软件 远控软件

华为云CDN加速服务,引领企业数字化发展潮流!

路过的憨憨

阿里云弹性预测 AHPA:助力厨芯科技降本增效

阿里巴巴云原生

阿里云 云原生 弹性预测

软硬协同造就极致性能 天翼云紫金DPU打造为云而生的全新一代云计算体系结构

Geek_2d6073

数据报告 | 美国民众健康状况和医疗需求研究报告

前嗅大数据

大数据 数据分析 数据报告

备受企业青睐的华为云CDN优势到底在哪?

路过的憨憨

企业内部使用的即时通讯软件有哪些?

WorkPlus

Databend in 2022

Databend

华为云OBS对象存储:企业“上云”的好帮手

清欢科技

Twitter不安全,自家老板中招_安全_万佳_InfoQ精选文章