入侵Twitter很容易:最大型黑客入侵背後的方法意外的簡單

2021-02-15 安服信息服務平臺

不久前,我讀了諾貝爾物理學獎獲得者理察·費曼的自傳,他曾與愛因斯坦一起研究原子彈。這本書講述了一系列的奇聞軼事:費曼曾經為螞蟻造過電梯,還曾用邦高鼓為芭蕾舞劇伴奏。

其中一章中寫到,他花了一年半時間在洛斯阿拉莫斯破解保險箱。當他發現一個他無法破解的保險箱時會猜測密碼組合,並能在第二次嘗試時正確無誤。最後,他遇到了一個保險箱,小詭計不頂用了。於是他請來了專業的鎖匠,鎖匠在鑽鎖之前鎖匠就破解了密碼。

費曼被迷住了,問他是怎麼做到的,結果發現鎖匠很驚訝:「你是費曼!偉大的保險箱破解者!我還想從你那兒學著怎麼撬開保險箱呢。」

費曼很困惑,「但你打開了!你一定知道怎麼破解保險箱。」鎖匠承認他沒有什麼特別的能力,「我知道鎖具的出廠設定組合是25–0–25或50–25–50,所以我想——誰知道呢,也許那傢伙懶得換密碼,所以第二次就成功了。」

當我上周讀到一篇關於Twitter黑客的文章時,我又想到了這個故事。那個黑客黑了很多知名人士的帳戶,並發推承諾將所有收到的比特幣翻倍。

每當我們讀到有關黑客攻擊的文章時就會想到電腦程式員,他們通過編寫巧妙的代碼來訪問系統。影視劇中的黑客就像是是巫師,他們穿著衛衣坐在電腦前,輕敲幾下按鍵,然後得意洋洋地宣布「我成功了!」

不過,雖然事實上大多數非法入侵都很巧妙,但相對直接。比起巫師,黑客更像舞臺魔術師,他們的方法是使用一系列鏡子和磁鐵,如果知道了他們的做法之後你可能會失望。就像《綠野仙蹤》,窗簾後面沒有任何奇幻的魔法。

當然,這裡面包含了很多好想法。最難的不是執行力,而是一開始就想到這個點子。黑客世界總有一些奇怪的合成詞,比如phishing(網絡釣魚)、smishing(簡訊詐騙)、Ddosing(洪水攻擊),還有一些晦澀難懂的術語,比如SQL注入、XSS腳本和遠程代碼執行。但複雜的技術開發實際上相當罕見。如果有人留下了默認的管理員密碼,為什麼還要費心去做這些工作呢?

目前為止最常見的黑客攻擊是「網絡釣魚」。他們想要獲取某人的Twitter密碼,於是製作了一個Twitter登錄頁面,看上去和真實的完全一樣,並將其放在自己的網站上。然後引誘用戶去訪問那個網站,可能是通過向他們發送一封假裝來自Twitter的電子郵件,並附上他們偽造登錄頁面的連結。

當用戶輸入用戶名和密碼時,假頁面會保存它們,這樣黑客就可以知道密碼是什麼了。就是這樣。黑客不需要任何高級編碼就可以進入Twitter,他們只需輸入密碼就行。

我喜歡閱讀有關黑客的文章,就像我喜歡了解魔術是如何實現的一樣。任何系統中最大安全隱患就是人類。幾年前,在亞馬遜更新流程之前的一次網絡入侵中,黑客通過打電話給亞馬遜服務臺就進入了某人的帳戶,他們甚至連電腦都沒碰。

「首先你打電話給亞馬遜,告訴他們你是帳戶持有人,並想在帳戶上增加一個信用卡號。你只需要帳戶上的名稱、關聯的電子郵件地址和帳單地址。然後亞馬遜就允許你輸入一張新的信用卡。」

「接下來打電話給亞馬遜,告訴他你無法訪問帳戶。在提供姓名、帳單地址和前一次電話中的新信用卡號碼後,Amazon將允許在帳戶中添加新的電子郵件地址。之後你就可以進入亞馬遜網站,將電子郵件密碼重置。」

更糟糕的是,既然你能訪問某人的亞馬遜帳戶,你就可以看到他們實際信用卡號的最後四位數字,根據《連線》雜誌的說法,「訪問某人蘋果ID所需的全部信息」,除了他們的姓名和地址之外,就是「信用卡的最後四位數字」。通過訪問一個伺服器,拿到了另一個伺服器的密匙,且兩個伺服器並不相關。

Twitter攻擊的全部細節仍有待披露,但據我們目前所知,幕後黑手柯克獲得了Twitter內部管理面板的權限,並任意更改了電子郵件和密碼。

但是他是怎麼拿到Twitter管理面板的權限的呢?據《紐約時報》報導,他「找到了一條進入Twitter內部Slack信息通道的途徑,能看到發布在那裡的信息,以及可以訪問公司的伺服器。」

這是一種高科技版本的入侵,看到安全密碼寫在白板上。就像上面亞馬遜和蘋果的黑客攻擊一樣,訪問一個伺服器就可以訪問另一個安全性更高的伺服器,我們稱之為「升級入侵」。

為了訪問歐巴馬的Twitter帳戶,攻擊者從Twitter的Slack帳戶開始。奇怪的是,一家無關的公司意外地、不知不覺地掌握了這些密匙。

我們還不知道柯克是如何進入Twitter的Slack帳戶的。但我們知道過去人們是如何進入Slack帳戶的:搜索GitHub。在編寫軟體時,開發人員有時會與其他產品集成。為此,他們要使用一個API密鑰,它本質上是一個特殊的計算機密碼,允許開發人員編寫的代碼與其他服務(比如Slack)一起工作。

有時,開發人員會意外地將這些密鑰保存到他們的公共原始碼存儲庫中。如果有人知道他們在找什麼,那麼他們就可以在GitHub中搜索並在那裡找到密鑰。即使現在,GitHub中也有成千上萬可見的密匙。

這或許不是柯克訪問Twitter  Slack的方式,還有很多其他的方法,也許他釣魚了一個Twitter員工。Twitter在一份聲明中說,他們發現了「一場有組織的社會工程攻擊,目標是我們的一些員工」。他們在博客上補充道,「攻擊者成功地操縱了一小部分員工,並利用了他們的資信。」

還有其他一些巧妙的黑客攻擊,比如這個利用服務臺發送了電子郵件。但事情可能沒有這麼複雜,有人認為他「只是賄賂了一名推特員工」,讓他們可以訪問Slack。

我的朋友在一家大公司從事信息安全工作,他給我講了一個故事,有一次黑客猜中了一位知名員工的密碼,是密碼1。黑客行為被發現後,安全團隊就將該帳戶上鎖,並聯繫此人更改密碼。但下周他的帳戶又被黑客入侵了。

「他們這次是怎麼破解的?」我問,他把密碼改成了密碼2。

儘管我們擁有各種聰明的安全措施——龐大複雜的保險箱、軟體庫和漏洞檢查,但每個系統中最薄弱的部分仍然是人類自己。

相關焦點

  • 蘋果、拜登、馬斯克等名人Twitter被黑客入侵(區塊新看點報導)
    蘋果,埃隆·馬斯克(Elon Musk)和喬·拜登(Joe Biden)是受到廣泛針對的黑客入侵的受害者,該黑客攻擊在發生數小時後仍然神秘。這些帳戶和許多其他帳戶發布了一條信息,宣傳一個比特幣錢包的地址,聲稱對該地址的任何付款金額都將增加一倍並發送回去,這是一種已知的加密貨幣詐騙技術。
  • 德雲色直播間遭黑客入侵!
    當然了,俗話說得好,有多少人喜歡你,背後便有多少人嫉妒你甚至討厭你,主播們雖然在鏡頭前風光無限一呼百應,但背後也需要和形形色色的人打交道,有人會因為人氣與你為敵,任何一個環節出現差池,那麼幾個月後就可能變成觀眾口中的「過氣主播」了。
  • Mild遭遇黑客入侵IG帳號 還被勒索錢財?!
    可是「人紅是非多」啊,最近,Mild就遭遇了黑客勒索事件?!!มาโพสต์ขอความช่วยเหลือจากแฟน ๆ ผ่านทวิตเตอร์真是太突然了,Mild Wiraporn的Instagram帳號突然遭遇黑客高手(歹徒)入侵,使得Mild 驚訝極了!!連忙在twitter上尋求粉絲幫助
  • 入侵推特知名帳號的黑客線上聽證會也被黑客入侵,一直放音樂視頻
    佛羅裡達州一名少年被控入侵推特一些知名帳戶,而他的在線保釋聽證會又遭到了黑客的攻擊,當時在線聽證會的直播視頻被說唱音樂和色情視頻輪番轟炸,參與此案的法官和律師都驚呆了。然而聽證會參與者的直播視頻多次出現搖滾音樂和色情的視頻,很明顯是黑客入侵了參會者的帳號。在所有參會者的屏幕上都出現了色情畫面後,明顯受到驚嚇的法官克里斯多福·納什被迫暫停了庭審,而佛羅裡達州第13巡迴法院的州檢察官安德魯·沃倫也同樣驚呆了。德魯·沃倫表示:「很明顯有人故意要打斷聽證會,希望這是我遇到的第一次也是最後一次出現這樣情況的聽證會。」
  • 「黑吃黑」暗戰:黑客入侵資金盤,盜走512萬
    文/棘輪在幣圈,資金盤操盤手最怕什麼?一是法律,二是「黑吃黑」。在這個光怪陸離的圈子裡,有職業羊毛黨註冊大量帳號薅羊毛,最終反殺操盤手;也有黑客入侵資金盤,修改系統數據並提現離場。
  • 推特遭史上最大規模黑客入侵丨大東話安全
    被黑的名人政要名單(圖片來自網絡)小白:這應該是推特史上規模之大的黑客入侵吧?這麼多名人政要推特被黑,黑客的目的是什麼?毀滅地球嗎?大東:不,他們的目的只是賺點錢。小白:那這件事是從哪裡開始的?不可能這麼大的事件連點跡象都沒有吧?
  • FBI:美抗疫機構遭「外國黑客」入侵
    美國媒體、歐巴馬政府、民主黨、中國以及世衛組織……接下來,有「外國政府」背景的不明身份黑客成為美方又一目標。據路透社報導,當地時間16日,美國聯邦調查局(FBI)副助理局長託尼亞·烏戈雷茨(Tonya Ugoretz)在一個線上會議聲稱,該局確認已有外國政府黑客侵入美國新冠病毒研究機構。
  • 美國遭史上最慘黑客入侵!政府軍隊淪陷,川普賴中國被打臉
    (圖源:express)而最讓美國人崩潰的是,他們發現入侵開始於今年3月份。也就是說黑客在過去長達9個月的時間裡面,一直在美國各大部門搜集各種資料信息:部門之間的報告、員工的郵件、機密信息…黑客到底取得了什麼信息、多少信息,現在還不得而知。但可以肯定的是,這些信息最後將會極大有利於黑客背後的勢力。
  • 粉絲專頁遭黑客入侵 莊思敏怕粉絲被騙錢
    粉絲專頁遭黑客入侵 莊思敏驚粉絲被呃錢該新聞包含視頻,即將在公眾號tvbvideo推送,敬請關注!!藝人莊思敏(Jacquelin)社交網的粉絲專頁遭黑客入侵,令她失去管理人的身份,不能貼文或閱讀私人訊息,令她非常苦惱,擔心會被不法分子利用詐騙,她說:「因為我本身有賣貨,我怕啲人會喺社交網頁入面問畀錢嘅嘢,擔心啲粉絲畀人呃錢。」Jacquelin稱曾聯絡社交網站方面通告相關事宜,但仍未有回覆。問到事發情況?
  • 美國參議員:財政部高層的電子郵件系統遭俄羅斯黑客入侵
    俄勒岡州參議員羅恩·懷登經常是國家安全局和其他情報機構最尖銳的批評者之一,他在為委員會工作人員舉行的簡報會後的一份聲明中說,財政部已經承認,從7月開始,該機構遭受了嚴重的漏洞,其全部深度尚不清楚。財政部位列政府保護最嚴密的機構之一,因為它負責影響市場的經濟決策、與美聯儲的溝通以及對對手的經濟制裁。
  • 深夜響起恐怖樂,8歲女孩房間攝像頭被黑客入侵......
    經警方核實,這是一起典型的黑客入侵攝像頭事件,而這樣的事件,最近幾天在頻繁發生。 黑客的惡作劇 據美國媒體報導,由於大量「破解Ring攝像頭」軟體在市場上出現,且售價低至8美元,催生了很多惡作劇事件的發生。 在德克薩斯州的一對夫婦攝像頭被入侵之後,黑客還控制了他家的備門鈴,讓人以為他們就在門外。
  • 俄羅斯黑客入侵五角大樓,曝希拉蕊私人郵箱,普京:管不了
    俄羅斯黑客入侵50多個國家的路由器四肢發達頭腦還不簡單戰鬥民族這麼剛的嗎但其實這已經不是俄羅斯黑客第一次跨國行動在破壞軟體界他們確實下了很多苦功自然做出了一些成果像世界上最最牛逼很多人都用過的卡巴斯基殺毒軟體是俄羅斯人做的
  • 最後的入侵
    生命是由無數個巧合加上無數次的錯誤組成的,不相交的路程或許會在某一個時刻變成統一的線路,可惜,結果不一定圓滿,故事,才剛剛開始……          男孩——請允許我這樣稱呼這個已經20歲善良而內向的小夥,一個黑客。黑客也是人,一名怎樣的黑客取決於他是怎樣的一個人。
  • 「最強黑客」入侵全球72機構 潛伏聯合國近兩年
    中新社北京8月4日電(鍾昊燕)網絡保安公司麥克菲(McAfee)3日揭露了歷史上規模最大的網絡攻擊事件稱,全球72家機構在5年內遭受了同一黑客組織入侵。其中包括美國、加拿大、印度等國家政府,聯合國、國際奧委會等國際組織,以及眾多企業的網絡系統。
  • 韓國女歌手IG帳號多次遭入侵 IU警告黑客
    韓國靚聲女歌手IU不時透過Instagram(IG)跟粉絲分享近況,上月就曾公開多張與家人去海外旅行的照片,而她今日在IG Story透露有黑客入侵她的IG帳號,令她感到困擾:「我都沒有進入IG,但就關注了不認識的帳號。」
  • 入侵美軍司令部,偷麥當勞快餐,被FBI釣魚,是全世界黑客偶像
    這位胖子,就是曾是名響世界的頭號黑客凱文·米特尼克。56歲的他,現在已是一位知名的白帽黑客。在這前,他可是著名的黑帽黑客。完成這番蛻變,還得靠FBI。1963年8月6日,他出生在美國洛杉磯。很小的時候,父母離異,造成他性格怪異,渴求關注。那時計算機技術剛起來,美國作為這方面的先驅,社區學校已經有部署計算機了。
  • 黑客入侵家用監控器,大量隱私影片在色情網任看
    不少家庭出於保安理由,在住所安設監控器,但成為黑客入侵對象,隱私在網上「一覽無遺」。
  • 新仇舊恨相愛相殺:俄羅斯黑客又又又入侵了美國國土安全部
    新仇舊恨相愛相殺:俄羅斯黑客又又又入侵了美國國土安全部 俄羅斯黑客和美國的安全部門那蜚短流長、恩怨愛恨情仇的故事真的是說來話長,除了眾所周知的稜鏡門——斯諾登事件,還有小編發布過的這個:俄羅斯黑客Aleksei Burkov在美國被判入獄9年。
  • 美國政府遭到「神秘黑客」入侵,FBI已介入調查
    知情人士還稱,黑客入侵美國政府的惡劣行為,已經有一段時間,一些政府僱員的電子郵箱甚至遭到了數個月的監視。知情人士將入侵行為描述為"手法純熟、經驗老道",能夠輕易繞過美國政府所設立的國家防火牆,進入到目標部門的電腦系統之中,顯然是有備而來。
  • 任賢齊電腦被入侵 黑客無孔不入太恐怖
    豈料,最近小齊再次成為不法之徒目標,被黑客入侵其夫婦共用的私人電腦,並盜用小齊太太Tina的電郵向銀行要求匯走一筆巨款,小齊說:「他用Tina的電郵發信給銀行,稱我的兩公婆好忙,但又急需動用一筆錢,要求銀行儘快匯錢去一個戶口