黑客通過劫持Jack Dorsey的個人資料證明接管Twitter帳戶是多麽容易

受損社交網絡帳戶的後果是什麼？可以說，這在很大程度上取決於誰擁有該帳戶。對於大多數普通用戶來說，這只是一個不便之處，如果他們足夠重視他們的在線安全性，不應該造成太大的痛苦。對於擁有眾多粉絲並從社交媒體中獲利的人來說，影響更為顯著。

然而，當一個社交媒體網站的負責人讓他們的帳戶受到損害時，無論是對於所述人還是他們所關注的平台，這種尷尬程度都是巨大的。 Twitter Jack Dorsey的聯合創始人兼首席執行官非常了解這種感覺。

週五，多爾西在Twitter上的420萬粉絲突然發現了一條不同尋常的推文。這有兩個不同的原因是不尋常的。首先，雖然他運行平台，但Dorsey並不是世界上最活躍的Twitter用戶，他很少在短時間內發布多個更新。然而更重要的是，這些推文並不真正適合矽谷一家大公司的首席執行官。它們包含種族主義誹謗和完全脫離背景的信息。人們立即懷疑Dorsey的帳戶可能已被黑客攻擊，而#ChucklingSquad主題標籤清除了所有疑問。

正如The Verge 指出的那樣 ，Chuckling Squad是一群網絡犯罪分子，他們試圖通過黑客攻擊一些名人和社交媒體人物的名字來為自己命名，而Jack Dorsey是他們迄今為止最受矚目的受害者。流氓推特被迅速刪除，Twitter承認其首席執行官確實讓他的帳戶遭到入侵。但是Chuckling Squad怎麼做呢？

傑克多爾西成為SIM交換攻擊的受害者

Dorsey遠未成為矽谷首位首席執行官，他的社交媒體資料被劫持。幾年前，黑客們突然闖入了社交網絡先生馬克扎克伯格的多個賬戶。他們在弄清楚Facebook首席執行官不是雙因素身份驗證的忠實粉絲並使用一個非常簡單的密碼來保護他的賬戶之後就做到了。

事實上，在你自己的平台上失去對你賬戶控制權的感覺對Jack Dorsey來說也不是新鮮事。 2016年，網絡犯罪分子利用一些未使用的第三方應用程序代表Dorsey發送了一些流氓推文。

然而，在周五的攻擊中，騙子沒有使用第三方應用程序，他們也沒有猜到Dorsey的密碼。相反，他們使用稱為SIM交換的技術接管帳戶。

在SIM交換攻擊中，犯罪分子說服移動服務提供商發布與受害者電話號碼相關的新SIM卡。這樣，他們可以控制所述電話號碼，並可以冒充目標. 就Jack Dorsey而言，他們也代表他發布了推文。

他們能夠做到這一點，因為Dorsey的微博平台已經有一段時間稱為“ 通過短信推特 ”的功能了。它可供很多國家/地區的用戶使用，正如您可能想像的那樣，帳戶所有者可以在其個人資料中發送顯示為推文的文字。使用一組命令 ，他們還可以轉發並喜歡其他人的更新，跟踪，阻止和直接向其他帳戶發送消息。在劫持傑克多爾西的電話號碼後，犯罪分子也能夠完成所有這些事情。

Twitter表示不應該責怪

在這次攻擊之後，Twitter 在一系列推文中表示，整個事情是“移動提供商的安全監督”的結果。通信團隊宣布Twitter自己的系統尚未受到損害，並決定不透露將來會阻止類似攻擊的機制。

它基本上聽起來像Twitter認為所有的責任應該放在移動服務提供商的家門口，這充其量是有爭議的。事實上，Dorsey的電信公司在保護他的電話號碼方面做得不夠，考慮到使用單個劫持號碼可以達到的損害程度，這本身就非常令人擔憂。

然而，另一方面，像Twitter這樣的在線服務應該盡其所能來盡可能地限制這種損害，而微博網站對這種攻擊做出反應的方式並沒有真正表明它非常認真地對待這一責任。 SIM交換現在是一個相當古老的技巧，它應該是每個人的威脅模型的一部分。不幸的是，電信提供商在預防方面肯定落後，如果有的話，這應該更能激勵安全人員盡其所能保護我們。