推特史诗级劫持案，背后究竟是谁在作祟？

• 据调查，此次事件的幕后黑手疑似一名在西班牙念大学的英国青年。他是“SIM交换”组织The Chuckling Squad的关键成员，该组织曾在一年前劫持了Twitter 首席执行官杰克·多西的账户。

• 此次黑客攻击事件再次引发担忧：黑客可能会对即将到来的美国总统选举造成严重破坏，或者以其他方式危及美国国家安全。

Twitter“艰难的一天”

美国东部时间本周三下午3点左右，全球多位公众人物突然在Twitter账户发布比特币欺诈信息，这一波谜之操作把Twitter推上了风口浪尖。

Twitter首席执行官杰克·多西（Jack Dorsey）在Twitter上发文称：“对我们在Twitter的众人来说，这是艰难的一天。发生这样的事情，我们也非常震惊。”

受到影响的账户包括：前总统巴拉克·奥巴马（Barack Obama）和民主党总统候选人乔·拜登（Joe Biden），微软联合创始人比尔·盖茨（Bill Gates），特斯拉首席执行官伊隆·马斯克（Elon Musk），亚马逊首席执行官杰夫·贝索斯（Jeff Bezos），说唱歌手坎耶·韦斯特（Kanye West）等个人账户，以及苹果和Uber等企业账户。

亚马逊CEO杰夫·贝佐斯推文

虽然推文中的措辞看似拙劣而荒谬，但根据Twitter对BTC钱包分析显示，该账户在7月15日当天处理了383笔交易，并收到了近13个比特币——约合11万7千美元。

据Twitter随后的调查，约130个账户遭到黑客攻击，其中部分账户被控制，然后发出了欺诈性的推文。目前Twitter公司已关闭了所有账户下载Twitter数据的功能。

对于此次事件，曾任职Twitter的业界知名安全研究员、前NSA黑客查理·米勒（Charlie Miller）评论称：“自己很庆幸，不再负责推特的应用安全工作。在3亿用户注视下应对安全事件，这不是件轻松的事。”

受此事件影响，Twitter 股价在盘前大跌近5%。

攻击手段揭秘

有充分的迹象表明，此次攻击采取的是臭名昭著的“SIM卡交换”方法。攻击者通过贿赂、黑客入侵或者强迫移动/社交媒体内部员工的方式获取目标账户信息，进而劫持相关账户。

在本周三各大公众人物及加密货币交易所通过Twitter账户发布欺诈信息的几个小时之前，攻击者似乎已经开始着手劫持部分短ID账户。这些账户被认为是影响力和财富的代表，例如“@6”。

目前的@6账户由Twitter昵称为“Lucky225”（此用户不愿透露真实姓名）用户所有。Lucky225表示，本周三下午14:00之前，他收到一条Google Voice（由Google推出的网络电话服务）提示@6账户正在进行密码重置并向他发出验证码。这让他非常奇怪，因为他之前就已经禁用了短信通知作为接收Twitter验证码的手段，改为使用由手机验证APP动态生成的一次性验证码。

Lucky225在接受安全博客Krebs On Security采访时指出，“从攻击方式来看，对方显然是控制了Twitter的管理工具，因此可以更新任意Twitter用户的电子邮件地址，且无需向用户发送任何通知。这样，攻击者就能够肆意变更账户上绑定的电子邮件地址，进而关闭双因素验证选项。”

Lucky强调在账户被劫持期间，他无法正常登录账户，自然也无法查看其中是否发布了后续推文。

被劫持账户“@b”的推文，显示劫持者登录至Twitter内部账户工具界面

Twitter公司的回应是删除其平台上发布的所有包含内部工具截屏的推文，并禁止部分受劫持账户继续发布推文。

另一个Twitter账户@shinji也曾发布过关于Twitter内部工具的截屏。就在该账户被封的几分钟之前，@shinji还发布了一条“follow @6”的推文，指的自然就是攻击者劫持了Lucky225的@6账户。

账户“@shinji”在Twitter上发布的截图，显示了目标用户账户的详细信息，比如它是否已被禁用、永久禁用或已处于保护状态

根据互联网档案网站显示，@Shinji 曾在其推特个人资料中声称，拥有"j0e"和 "dead"两个Instagram账户。

Twitter上@Shinji账户的归档副本显示，“Dead”确实是Joe当前持有的 Instagram账户之一

Krebs On Security从一位供职于美国最大移动运营商之一安全部门的消息人士得知，“j0e”与“dead”两个Instagram账户都与某臭名昭著的SIM卡交换者绑定，其账户昵称为“PlugWalkJoe”。

研究人员一直在跟踪PlugWalkJoe，据悉此人真实身份是一名在西班牙念大学的英国青年，曾在几年之前的比特币大劫案中参与过多次SIM卡交换攻击。消息人士称，此人属于“SIM交换”组织The Chuckling Squad的关键成员，该组织在一年前劫持了Twitter 首席执行官杰克·多西的账户。

据外媒Vice向多名知情人士了解到，黑客通过Twitter的一款内部工具劫持了这些账户，而Twitter一位内部员工有着不可推卸的责任，或可能通过买通这名“内鬼”来完成操作。Twitter发言人表示，正在调查是否有员工参与该事件。

Twitter被黑事件引发的深度隐忧

事件发生后，参议员乔什·霍利（Josh Hawley）给Twitter发送了一封信，呼吁其与联邦政府的执法部门合作。

在国会山，霍利向来是科技行业最严厉的批评者之一。他说，“我担心该事件不仅仅是一系列有计划有预谋的独立黑客攻击事件，更是对Twitter自身安全性的一次成功攻击。”

霍利在给Twitter首席执行官杰克·多西的信中写道。“正如你所知，你的数百万用户不仅依赖你的服务公开发布推文，也使用你的私信私下里互相交流，” 霍利继续写道，“对你系统服务器的成功攻击将对所有用户的隐私与数据安全构成威胁。”

目前Twitter的每日用户超过1.6亿，已成为世界领导人、政府机构、媒体、政客和应急服务机构的社交媒体交流首选渠道。Twitter也是美国政治候选人和公职人员的重要沟通平台，包括美国总统唐纳德·特朗普（Donald Trump）在内，经常使用Twitter发表政治见解和其他内容。

2013年4月，美联社官方Twitter账户发布了一条白宫爆炸、美国总统奥巴马在白宫炸弹袭击中受伤的消息，引发了标准普尔500指数短暂跳水，市值瞬间蒸发1400亿美元。

此次黑客攻击事件再次引发担忧：黑客可能会对即将到来的美国总统选举造成严重破坏，或者以其他方式危及美国国家安全。

此次Twitter账户劫持似乎是受经济利益驱动，但假如恶意组织掌握了特朗普总统的账户，“这可能会引发一场战争！”

据外媒报道，两名熟知内情的消息人士透露，美国联邦调查局（FBI）正在牵头对Twitter黑客事件发起一项联邦调查。

参考链接：

https://krebsonsecurity.com/2020/07/whos-behind-wednesdays-epic-twitter-hack/

https://www.rnz.co.nz/news/world/421402/worst-ever-hack-of-platform-poses-problems-for-twitter

https://www.vice.com/en_us/article/jgxd3d/twitter-insider-access-panel-account-hacks-biden-uber-bezos

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。