上週,駭客針對Twitter內部員工進行比特幣釣魚騙局,以獲取對帳戶的存取權限後,多個知名人士的帳戶遭到了駭客攻擊。「攻擊者成功操縱了少量員工,並使用其憑證進入Twitter的內部系統,包括通過雙重驗證機制。」
此起事件成為該公司史上最大的一起安全性漏洞。
Twitter發布完整文章透露了被入侵的帳戶資訊,其中包括美國本屆民主黨總統候選人Joe Biden、前總統巴拉克·歐巴馬(Barack Obama)、特斯拉(Tesla)CEO伊隆·馬斯克(Elon Musk)、微軟聯合創辦人比爾·蓋茲(Bill Gates)、肯伊·威斯特(Kanye West)、麥克·彭博(Michael Bloomberg)等。
截圖自歐巴馬帳號此前發文:「所有發送至我帳戶的比特幣,將雙倍奉還。支付1000美元,我會返還2000美元。」
據Twitter官方描述,駭客可直接看到並下載這些帳戶的資料檔案,如電話號碼、電子郵件、私人訊息(DM)。而且,駭客可能甚至還能獲取到這8個帳戶試圖刪除的DM,因為只要對話任意一方將DM儲存在其伺服器上,Twitter就會在其伺服器上儲存DM。這些資訊可能包含其他個人資訊如位址、圖片、影片等。
不過,好消息是,Twitter聲稱這8個帳戶沒有一個是經過驗證的帳戶。這意味著,8個帳戶實際所代表的個人沒有在帳戶上透露個人資訊。
Twitter還表示,駭客最初鎖定了130個目標帳戶,成功從其中的45個帳戶成功觸發密碼重置,並登錄發表推文。最終,駭客僅嘗試下載了最多8個未經驗證帳戶的資料。「我們不可能知道駭客究竟掃描了多少個帳戶來查詢個人資訊,也不知道他們可能僅瀏覽或閱讀了這些私人消息。」
目前,Twitter給出了解決方法是,鎖定(130個)所有已驗證的帳戶存取權限。未來計畫在恢復這些被鎖定的帳戶後,與執法部門繼續進行調查,加強安全機制,以及對員工內部的安全培訓。
事件發生後,有媒體稱,此次Twitter受攻擊事件將為11月的美國總統大選敲響警鐘。而在美國民眾了解可以透過視角媒體輕鬆操縱選舉的四年之後,該國仍未有相對完善的保護措施。Twitter應該清楚地意識到,將來很可能再次成為攻擊目標,並為各種突發事件做好準備。
而據紐約時報透露,此次攻擊最初是三名年輕駭客的惡作劇。該攻擊始於一個名為「Kirk」的用戶,他向兩名少年宣稱自己可以進入知名人士帳戶。另外兩名為「lol」和「ever so sear」的少年承認參與駭客攻擊。而關於「Kirk」的身份仍一無所知。
據了解,英國21歲著名駭客JosephO’Connor被指控為此次Kirk的真實身份,但無確鑿證據。