掌管著全世界數(shù)億個Twitter賬號密碼的Twitter CEO杰克·多西(Jack Dorsey)一定想不到,自己的Twitter賬戶竟然也被黑了。
(圖自:wsj)
這次的“兇手”依然是那個名為 “OurMine” 的三人黑客團隊。OurMine之前已經(jīng)成功黑過Facebook CEO馬克·扎克伯格和Google CEO桑達爾·皮扎伊的Twitter賬戶。
OurMine在破解了多西的Twitter賬號和密碼之后,先是用他的賬號推了幾個“無公害”的視頻片段,接著又發(fā)了一句話:
Hey, its OurMine, we are testing your security.
(圖自:twitter)
當然,這條文字被很快刪除。不過,由于那些被推出來的視頻都是來自于Vine(Twitter旗下的短視頻應用),所以很有可能是多西在Vine上使用了與Twitter相同的密碼,或者說是其他相關的賬號被盜取,從而被OurMine套用在Twitter上并成功破解。
為什么又是Twitter ?
OurMine 團隊陸續(xù)黑了三個重要科技人物的Twitter 賬號,除了讓人對 OurMine 的目的進行質(zhì)疑以外,還想知道為什么他們的 Twitter 賬戶會被盜取。
原因也許很簡單:因為他們在不同的網(wǎng)絡賬號上使用了相同的密碼。
6月初發(fā)生的扎克伯格 Twitter 賬戶被盜事件,其實是因為 OurMine 首先獲得了小扎在 LinkedIn 上的泄露數(shù)據(jù),并且破解了 SHA1加密過的密碼。然后黑客再利用這些數(shù)據(jù),成功進入到小扎的 Twitter。令人大跌眼鏡的是,小扎的密碼竟然是“dadada”。
(圖自:onedio)
Google CEO 皮扎伊的 Twitter 賬號被黑與之類似。OurMine 先通過 Quora 平臺上的一個漏洞獲得了密碼;然后又通過 Quora 密碼在 Twitter 上試了一下,結(jié)果竟然登錄成功。
至于多西的,十有八九與也 Vine 有關。
除了這些比較顯眼的賬戶被黑事件,最近 Twitter 還有一次大規(guī)模的賬號泄露。
據(jù)報道,同樣是在6月,有超過3200萬 Twitter 用戶的登錄信息在“暗網(wǎng)”出售,包括用戶名、郵箱地址和明文密碼等。不過據(jù) Twitter 調(diào)查稱,這些信息可能是之前一系列社交網(wǎng)絡被黑事件所致,也有部分是惡意軟件從用戶那里收集到的數(shù)據(jù)。
愛范兒(微信 ID:ifanr)此前曾經(jīng)報道,為了保護這些出現(xiàn)在“暗網(wǎng)”上的賬號,Twitter 對出現(xiàn)在“暗網(wǎng)”上的賬戶信息進行了核查并提前鎖定,同時給相關用戶發(fā)送了郵件通知。
(圖自:appmobi)
但是在 Twitter 信息安全部門負責人 Michael Coates 看來,在不同網(wǎng)站使用相同密碼依然是賬戶安全風險的主要原因。他說:
最近來自于部分網(wǎng)站的數(shù)據(jù)泄露,實際上已經(jīng)對所有的網(wǎng)站造成了威脅。那些攻擊者將用戶名、郵箱、密碼等信息挖掘出來,然后在其他各大網(wǎng)站進行“撞庫”嘗試。所以那些在多個網(wǎng)站使用相同賬號密碼的用戶賬戶極易被黑客控制。
OurMine 到底是什么鬼?
憑借這幾次奪人眼球的 Twitter 賬號控制,OurMine 在最近一兩個月也算是出盡風頭。那么 OurMine 到底是一個什么樣的所在?
有一點可以確定的是,OurMine 黑掉別人的賬號密碼不是為了威脅或恐嚇,也看不到什么實際的利益。它不修改密碼,通常會在被黑的賬號上發(fā)表一個聲明稱是在測試賬號的安全,然后坐等聲明被刪,賬號被官方恢復。
OurMine 有一個以 .org 為域名后綴的網(wǎng)站,看起來似乎是一個非盈利組織。但是在打開網(wǎng)站之后,卻看到這樣的頁面:
(圖自:OurMine)
簡單來說,它為個人和公司提供付費的賬戶安全測試服務,價格從30美元到5000美元不等。如果不成功的話,還可以退款。
這是赤裸裸的商業(yè)行為。
但是在《連線》雜志的一次線上匿名采訪中,OurMine 的其中一員卻堅持認為 OurMine 只是為了警醒用戶。他說:我們不需要錢,我們之所以提供安全服務,是因為很多用戶需要它。我們不是黑帽黑客,我們是一個安全團隊。我們想告訴大家沒有人是安全的。
當被問到是否有人購買網(wǎng)站上的安全服務的時候,那個匿名受訪者稱他們已經(jīng)收到了18400美元,并提供了一張5000美元的訂單截圖。訂單上寫的是來自 Conversely 公司 和 TruthFinder 公司的支付。但是后來當《連線》向 Conversely 求證的時候,Conversely 卻說根本沒有這回事。
(圖自:OurMine)
除了上述服務,OurMine 的網(wǎng)站上還開辟出一個專門的板塊來發(fā)布一些重點賬號被黑的消息,顯得非常高調(diào)。那么,既然 OurMine 的目標是為了提醒安全,那么為什么不私下通知那些被黑的賬戶呢?
這位匿名受訪者回答說:他們忽略了我們,所以我們只能證明給他們看。我們沒有做錯。
京公網(wǎng)安備 11010502049343號