Twitter CEO 多西的 Twitter 帳號被駭,駭客只運用簡單的 SIM 盜換技術就搞定

作者 | 發布日期 2019 年 09 月 02 日 11:07 | 分類 社群 , 網路 , 資訊安全 follow us in feedly


8 月 30 日,Twitter 創辦人兼執行長多西(Jack Dorsey)的官方 Twitter 帳號遭駭客攻擊,他的 Twitter 充斥種族歧視字眼、反猶太言論和具攻擊性的內容,震驚了他的粉絲。這次駭客攻擊似乎來自上週攻擊 YouTube 名人 Twitter 帳號的同一組織,受攻擊名人包括美妝影片部落客詹姆士‧查理斯(James Charles)、美國網紅始祖謝恩‧多森(Shane Dawson)及喜劇演員金巴赫(King Bach)。

30 日下午,Twitter 大家長多西的 420 萬 Twitter 追隨者收到令人不快的驚嚇推文。一群網路破壞者獲得帳號的存取權限,並使用權限為他們團隊的 Discord 語音頻道爆發一系列令人反感的訊息和外掛程式。

15 分鐘內,帳號重新受到控制,而攻擊團隊被 Discord 禁用,但事件提醒人們,即使是最知名的帳號也可能有嚴重的安全漏洞,以及電話身分驗證的不安全性。

駭客是透過 Twitter 的文字轉推文(text-to-tweet)服務駭入帳號,而文字轉推文服務目前由 Twitter 收購的 Cloudhopper 負責營運。使用 Cloudhopper,Twitter 使用者就可透過將簡訊經由一組短碼數字(通常是 40404)發推。這對簡易型手機(例如沒觸控螢幕的功能手機)來說是很有用的技巧,或使用者無法存取 Twitter 應用程式時。

此系統只需要將電話號碼連結到 Twitter 帳號,這點大多數使用者早已基於不同的安全理由這麼做了。因此,只要控制你的電話號碼,通常就足以用你的帳號發推,且大多數用戶並不知情。

駭客用的是資安界早已熟悉的攻擊手法,之前多西帳號就被駭過

事實證明,控制多西的電話號碼並不像你想像的難。根據 Twitter 官方聲明,供應商的「安全監管」讓駭客獲得控制權。一般來說,這種攻擊被稱為 SIM 卡入侵攻擊(SIM Hacking),基本上就是說服電信商將多西的電話號碼分配給駭客控制的新手機。

這並不是新技術,儘管更常用來竊取比特幣(Bitcoin)或高價值通用所有社交平台的 Instagram 統一帳號(IG handle)。通常,這就和輸入洩漏的密碼一樣簡單。你可以透過在電信商帳號新增個人識別碼(PIN)或使用假電話號碼來註冊 Twitter 等網路帳號來保護自己,但這些技術對一般使用者來說要求太高了。因此,SIM 卡盜換已成為線上麻煩製造者最喜愛的技術之一,正如我們今天發現的,氾濫程度比你想像更高。

任何讓用戶更容易發推的系統,也會讓駭客更容易控制帳號。2016 年,多西也遭遇類似攻擊,充分利用授權的協力廠商外掛程式,這些外掛程式經常開發中止被棄用,但仍保留可發推至帳號的許可權。隨著 SIM 卡盜換技術被廣泛理解,這種技術不那麼突出,但偷渡式(Drive-by)惡意攻擊的基本目標並沒有太大改變。

儘管如此,這個事件著實令 Twitter 顏面無光,原因不僅在於正急於奪回 CEO 帳號的控制權,畢竟整個資安界多年來早就知道 SIM 卡盜換攻擊的手法,且多西帳號也曾遭駭入。未能確保執行長帳號控制安全的簡單疏忽,對 Twitter 無異是重大失誤,影響遠不只幾分鐘的混亂而已。希望 Twitter 能從這次事件汲取教訓,優先加強安全措施,甚至可將 Twitter 的簡訊驗證機制移除。

(首圖來源:cellanr [CC BY-SA 2.0], via Wikimedia Commons