• 媒体品牌
    爱范儿
    关注明日产品的数字潮牌
    APPSO
    先进工具,先知先行,AIGC 的灵感指南
    董车会
    造车新时代,明日出行家
    玩物志
    探索城市新生活方式,做你的明日生活指南
  • 知晓云
  • 制糖工厂
    扫描小程序码,了解更多

他们黑了 Twitter CEO 的 Twitter 账号,只是为了证明自己

公司

2016-07-10 02:01

掌管着全世界数亿个 Twitter 账号密码的 Twitter CEO 杰克·多西(Jack Dorsey)一定想不到,自己的 Twitter 账户竟然也被黑了。

docy

(图自:wsj

这次的“凶手”依然是那个名为 “OurMine” 的三人黑客团队。OurMine 之前已经成功黑过 Facebook CEO 马克·扎克伯格和 Google CEO 桑达尔·皮扎伊的 Twitter 账户。

OurMine 在破解了多西的 Twitter 账号和密码之后,先是用他的账号推了几个“无公害”的视频片段,接着又发了一句话:

Hey, its OurMine, we are testing your security.

4444

(图自:twitter

当然,这条文字被很快删除。不过,由于那些被推出来的视频都是来自于 Vine(Twitter 旗下的短视频应用),所以很有可能是多西在 Vine 上使用了与 Twitter 相同的密码,或者说是其他相关的账号被盗取,从而被 OurMine 套用在 Twitter 上并成功破解。

为什么又是 Twitter ?

OurMine 团队陆续黑了三个重要科技人物的 Twitter 账号,除了让人对 OurMine 的目的进行质疑以外,还想知道为什么他们的 Twitter 账户会被盗取。

原因也许很简单:因为他们在不同的网络账号上使用了相同的密码。

6 月初发生的扎克伯格 Twitter 账户被盗事件,其实是因为 OurMine 首先获得了小扎在 LinkedIn 上的泄露数据,并且破解了 SHA1 加密过的密码。然后黑客再利用这些数据,成功进入到小扎的 Twitter。令人大跌眼镜的是,小扎的密码竟然是“dadada”

da

(图自:onedio

Google CEO 皮扎伊的 Twitter 账号被黑与之类似。OurMine 先通过 Quora 平台上的一个漏洞获得了密码;然后又通过 Quora 密码在 Twitter 上试了一下,结果竟然登录成功。

至于多西的,十有八九与也 Vine 有关。

除了这些比较显眼的账户被黑事件,最近 Twitter 还有一次大规模的账号泄露。

据报道,同样是在 6 月,有超过 3200 万 Twitter 用户的登录信息在“暗网”出售,包括用户名、邮箱地址和明文密码等。不过据 Twitter 调查称,这些信息可能是之前一系列社交网络被黑事件所致,也有部分是恶意软件从用户那里收集到的数据。

爱范儿(微信 ID:ifanr)此前曾经报道,为了保护这些出现在“暗网”上的账号,Twitter 对出现在“暗网”上的账户信息进行了核查并提前锁定,同时给相关用户发送了邮件通知。

ad

(图自:appmobi

但是在 Twitter 信息安全部门负责人 Michael Coates 看来,在不同网站使用相同密码依然是账户安全风险的主要原因。他说:

最近来自于部分网站的数据泄露,实际上已经对所有的网站造成了威胁。那些攻击者将用户名、邮箱、密码等信息挖掘出来,然后在其他各大网站进行“撞库”尝试。所以那些在多个网站使用相同账号密码的用户账户极易被黑客控制。

OurMine 到底是什么鬼?

凭借这几次夺人眼球的 Twitter 账号控制,OurMine 在最近一两个月也算是出尽风头。那么 OurMine 到底是一个什么样的所在?

有一点可以确定的是,OurMine 黑掉别人的账号密码不是为了威胁或恐吓,也看不到什么实际的利益。它不修改密码,通常会在被黑的账号上发表一个声明称是在测试账号的安全,然后坐等声明被删,账号被官方恢复。

OurMine 有一个以 .org 为域名后缀的网站,看起来似乎是一个非盈利组织。但是在打开网站之后,却看到这样的页面:

3

(图自:OurMine

简单来说,它为个人和公司提供付费的账户安全测试服务,价格从 30 美元到 5000 美元不等。如果不成功的话,还可以退款。

这是赤裸裸的商业行为。

但是在《连线》杂志的一次线上匿名采访中,OurMine 的其中一员却坚持认为 OurMine 只是为了警醒用户。他说:

我们不需要钱,我们之所以提供安全服务,是因为很多用户需要它。我们不是黑帽黑客,我们是一个安全团队。我们想告诉大家没有人是安全的。

当被问到是否有人购买网站上的安全服务的时候,那个匿名受访者称他们已经收到了 18400 美元,并提供了一张 5000 美元的订单截图。订单上写的是来自 Conversely 公司 和 TruthFinder 公司的支付。但是后来当《连线》向 Conversely 求证的时候,Conversely 却说根本没有这回事。

n

(图自:OurMine

除了上述服务,OurMine 的网站上还开辟出一个专门的板块来发布一些重点账号被黑的消息,显得非常高调。那么,既然 OurMine 的目标是为了提醒安全,那么为什么不私下通知那些被黑的账户呢?

这位匿名受访者回答说:

他们忽略了我们,所以我们只能证明给他们看。我们没有做错。

题图来自:willowridgesecurity

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中