安全研究人員再次猜出了美國總統川普的推特密碼,並成功訪問了他的社交帳戶。
近日,非營利性組織GDI基金會的安全研究員,荷蘭漏洞披露協會主席Victor Gevers在社交媒體網站上披露了他的發現:
「親愛的@realDonaldTrump,我多次嘗試通知,您的推特密碼弱爆了。上周五,就像2016年10月那次一樣,我們又猜到了您的密碼。我聯繫了@CISAgov、@TeamTrump、@WhiteHouse、@DonaldJTrumpJr和@twittersecurity。但沒有人回應。請啟用2FA(雙因素認證)!」
在2016年那次「事件」中, Gevers和其他兩個安全人士成功猜到了川普的推特帳戶密碼:youarefired(你被解僱了!這也是川普當年最廣為人知的一句口頭禪)。
吃一塹長一智,今年川普的推特密碼顯然有所強化,正如Gevers猜測的,新密碼「maga2020」(MAGA是川普的競選口號,人盡皆知)增加了2020這組無障礙數字。
儘管Twitter發言人表示,「沒有證據證實這一說法」,並且「已針對美國指定的一組與選舉相關的知名度很高的Twitter帳戶,積極實施了帳戶安全措施。」但是荷蘭報紙De Volksrant的一篇報導卻發表了不同意見。
根據報導,Gevers截取了屏幕快照以記錄他的「攻擊」步驟,其中包括四次嘗試失敗,然後才嘗試使用「魔法密碼」並一蹴而就。
雖然Gevers通知的白宮和安全部門沒有人回應,但是第二天,Gevers注意到川普的推特帳戶啟用了雙因素身份驗證。兩天後,據報導,Gevers收到了美國特勤局的一封電子郵件,要求提供有關帳戶接管的更多信息,並感謝他暴露了該安全性問題。
「鑑於總統在Twitter上的高頻穩定輸出,他的8700萬追隨者以及他作為自由世界領導人所擁有的絕對力量,使用maga2020這樣直白的密碼非常危險。」ProPrivacy研究人員Andreas Theodorou說道:「實際上,在任何其他年份,我都傾向於認為這是假新聞。」
頗為諷刺的是,本周早些時候,川普在亞利桑那州的一次集會上發表了「沒有人會被黑」的言論,成功逗笑了整個網絡安全界。川普說:
「沒有人被黑客攻擊。攻擊你的黑客智商至少需要197,而且需要知道你的密碼的15%」。
安全牛評
對於川普治國和競選如此重要的推特帳號,居然在曝出重大密碼安全問題四年後依然在使用極為脆弱的密碼並拒絕啟用雙因素甚至多因素認證,這反映了兩大問題。
首先,從川普對待口罩和科學防疫,以及黑客和網絡攻擊的態度,我們不難想像經常需要登錄推特的他對雙因素認證會有多麼深惡痛絕。此外,川普還解散了歐巴馬時代在白宮設立的國家網絡安全委員會機構,辭退了白宮網絡安全高級人才,正如前白宮網絡安全和反恐顧問Paul Kurtz所言:川普從來沒有真正關注過網絡安全。
其次,雖然安全界普遍認為雙因素認證(2FA)和多因素認證(MFA)對於提升企業安全防禦能力至關重要,但是由於所謂的「安全疲勞「和」業務摩擦「問題,大量實施案例流於形式,虎頭蛇尾。企業安全主管們需要注意與企業高級管理層溝通雙因素認證的常見盲區和誤區,尤其是糾正將MFA等同於「創可貼」和「口罩」的危險看法,要從安全策略和安全文化的高度和深度去克服MFA的推廣阻力。