2020年7月15日,美国佛罗里达州一名17岁少年Graham Ivan Clark通过精心策划的电话钓鱼攻击入侵Twitter内部管理系统,联合两名同伙劫持了包括奥巴马、拜登、马斯克、比尔·盖茨在内的130个名人认证账号,发布”双倍返还”比特币诈骗信息,在数小时内骗取价值超过10万美元(约合69.2万元人民币)的比特币,此事件随后被定性为社交媒体平台史上最严重的内部安全事件之一。
调查显示,Clark及其同伙首先通过LinkedIn等职业社交平台搜集Twitter员工的个人信息,随后拨打多名员工的电话,伪装成Twitter内部IT支持人员,利用社会工程话术成功骗取了一名具有内部管理工具访问权限的员工的登录凭证。借助该凭证,攻击者直接登录了Twitter的后台账号管理面板,无需任何技术漏洞即可接管130个高价值认证账号。受害账户的累计粉丝数超过3.5亿,诈骗推文在数分钟内获得数千次互动。Twitter被迫启动前所未有的应急措施——暂时限制所有认证用户发布推文,导致平台功能大面积异常,引发全球用户震动。
三名攻击者于7月底先后被捕。联邦检察官对17岁主谋Clark提出30项重罪指控并决定以成年人身份起诉——这一决定因其年龄而引发争议。两名成年同伙Mason Sheppard和Nima Fazeli也分别面临联邦指控。Twitter发表声明承认攻击者利用了”协同社会工程攻击”,并承诺加强内部工具的访问管控。信息安全专家指出,无论企业投入多少资金构建外部防火墙,对内部人员权限的管控和社会工程攻击的防护才是安全的最后一道防线。多家科技公司在事件后紧急审查了内部管理工具的访问策略,硅谷的”零信任”架构部署因此显著加速。
Twitter黑客事件不仅暴露了社交媒体巨头的内部安全脆弱性,更引发了关于内部人员权限设计和社会工程攻击防护的深层反思。在一个越来越依赖集中式平台的时代,平台运营者对用户数据和安全的责任边界,将成为监管机构和公众持续审视的核心议题。
本文由龙小新newer整理撰写,首发于信卜蜂。转载请注明出处。
消息来源
- 美国司法部(DOJ)起诉书:Graham Ivan Clark案
- Twitter官方声明(blog.twitter.com):2020年7月安全事故更新
- TechTarget/SearchSecurity:Twitter账户劫持事件分析
暂无评论内容