黑客通过劫持Jack Dorsey的个人资料证明接管Twitter帐户是多么容易

受损社交网络帐户的后果是什么？可以说，这在很大程度上取决于谁拥有该帐户。对于大多数普通用户来说，这只是一个不便之处，如果他们足够重视他们的在线安全性，不应该造成太大的痛苦。对于拥有众多粉丝并从社交媒体中获利的人来说，影响更为显着。

然而，当一个社交媒体网站的负责人让他们的帐户受到损害时，无论是对于所述人还是他们所关注的平台，这种尴尬程度都是巨大的。 Twitter Jack Dorsey的联合创始人兼首席执行官非常了解这种感觉。

周五，多尔西在Twitter上的420万粉丝突然发现了一条不同寻常的推文。这有两个不同的原因是不寻常的。首先，虽然他运行平台，但Dorsey并不是世界上最活跃的Twitter用户，他很少在短时间内发布多个更新。然而更重要的是，这些推文并不真正适合硅谷一家大公司的首席执行官。它们包含种族主义诽谤和完全脱离背景的信息。人们立即怀疑Dorsey的帐户可能已被黑客攻击，而#ChucklingSquad主题标签清除了所有疑问。

正如The Verge 指出的那样 ，Chuckling Squad是一群网络犯罪分子，他们试图通过黑客攻击一些名人和社交媒体人物的名字来为自己命名，而Jack Dorsey是他们迄今为止最受瞩目的受害者。流氓推特被迅速删除，Twitter承认其首席执行官确实让他的帐户遭到入侵。但是Chuckling Squad怎么做呢？

杰克多尔西成为SIM交换攻击的受害者

Dorsey远未成为硅谷首位首席执行官，他的社交媒体资料被劫持。几年前，黑客们突然闯入了社交网络先生马克扎克伯格的多个账户。他们在弄清楚Facebook首席执行官不是双因素身份验证的忠实粉丝并使用一个非常简单的密码来保护他的账户之后就做到了。

事实上，在你自己的平台上失去对你账户控制权的感觉对Jack Dorsey来说也不是新鲜事。 2016年，网络犯罪分子利用一些未使用的第三方应用程序代表Dorsey发送了一些流氓推文。

然而，在周五的攻击中，骗子没有使用第三方应用程序，他们也没有猜到Dorsey的密码。相反，他们使用称为SIM交换的技术接管帐户。

在SIM交换攻击中，犯罪分子说服移动服务提供商发布与受害者电话号码相关的新SIM卡。这样，他们可以控制所述电话号码，并可以冒充目标. 就Jack Dorsey而言，他们也代表他发布了推文。

他们能够做到这一点，因为Dorsey的微博平台已经有一段时间称为“ 通过短信推特 ”的功能了。它可供很多国家/地区的用户使用，正如您可能想象的那样，帐户所有者可以在其个人资料中发送显示为推文的文字。使用一组命令 ，他们还可以转发并喜欢其他人的更新，跟踪，阻止和直接向其他帐户发送消息。在劫持杰克多尔西的电话号码后，犯罪分子也能够完成所有这些事情。

Twitter表示不应该责怪

在这次攻击之后，Twitter 在一系列推文中表示，整个事情是“移动提供商的安全监督”的结果。通信团队宣布Twitter自己的系统尚未受到损害，并决定不透露将来会阻止类似攻击的机制。

它基本上听起来像Twitter认为所有的责任应该放在移动服务提供商的家门口，这充其量是有争议的。事实上，Dorsey的电信公司在保护他的电话号码方面做得不够，考虑到使用单个劫持号码可以达到的损害程度，这本身就非常令人担忧。

然而，另一方面，像Twitter这样的在线服务应该尽其所能来尽可能地限制这种损害，而微博网站对这种攻击做出反应的方式并没有真正表明它非常重视这一责任。 SIM交换现在是一个相当古老的技巧，它应该是每个人的威胁模型的一部分。不幸的是，电信提供商在预防方面肯定落后，如果有的话，这应该更能激励安全人员尽其所能保护我们。