入侵Twitter很容易：最大型黑客入侵背后的方法出人意料的简单

全文共2720字，预计学习时长7分钟

图源：unsplash

不久前，我读了诺贝尔物理学奖获得者理查德·费曼的自传，他曾与爱因斯坦一起研究原子弹。这本书讲述了一系列的奇闻轶事：费曼曾经为蚂蚁造过电梯，还曾用邦高鼓为芭蕾舞剧伴奏。

其中一章中写到，他花了一年半时间在洛斯阿拉莫斯破解保险箱。当他发现一个他无法破解的保险箱时会猜测密码组合，并能在第二次尝试时正确无误。最后，他遇到了一个保险箱，小诡计不顶用了。于是他请来了专业的锁匠，锁匠在钻锁之前锁匠就破解了密码。

费曼被迷住了，问他是怎么做到的，结果发现锁匠很惊讶：“你是费曼！伟大的保险箱破解者！我还想从你那儿学着怎么撬开保险箱呢。”

费曼很困惑，“但你打开了！你一定知道怎么破解保险箱。”锁匠承认他没有什么特别的能力，“我知道锁具的出厂设定组合是25–0–25或50–25–50，所以我想——谁知道呢，也许那家伙懒得换密码，所以第二次就成功了。”

当我上周读到一篇关于Twitter黑客的文章时，我又想到了这个故事。那个黑客黑了很多知名人士的账户，并发推承诺将所有收到的比特币翻倍。

每当我们读到有关黑客攻击的文章时就会想到计算机程序员，他们通过编写巧妙的代码来访问系统。影视剧中的黑客就像是是巫师，他们穿着卫衣坐在电脑前，轻敲几下按键，然后得意洋洋地宣布“我成功了！”

不过，虽然事实上大多数非法入侵都很巧妙，但相对直接。比起巫师，黑客更像舞台魔术师，他们的方法是使用一系列镜子和磁铁，如果知道了他们的做法之后你可能会失望。就像《绿野仙踪》，窗帘后面没有任何奇幻的魔法。

当然，这里面包含了很多好想法。最难的不是执行力，而是一开始就想到这个点子。黑客世界总有一些奇怪的合成词，比如phishing（网络钓鱼）、smishing（短信诈骗）、Ddosing（洪水攻击），还有一些晦涩难懂的术语，比如SQL注入、XSS脚本和远程代码执行。但复杂的技术开发实际上相当罕见。如果有人留下了默认的管理员密码，为什么还要费心去做这些工作呢？

目前为止最常见的黑客攻击是“网络钓鱼”。他们想要获取某人的Twitter密码，于是制作了一个Twitter登录页面，看上去和真实的完全一样，并将其放在自己的网站上。然后引诱用户去访问那个网站，可能是通过向他们发送一封假装来自Twitter的电子邮件，并附上他们伪造登录页面的链接。

图源：unsplash

当用户输入用户名和密码时，假页面会保存它们，这样黑客就可以知道密码是什么了。就是这样。黑客不需要任何高级编码就可以进入Twitter，他们只需输入密码就行。

我喜欢阅读有关黑客的文章，就像我喜欢了解魔术是如何实现的一样。任何系统中最大安全隐患就是人类。几年前，在亚马逊更新流程之前的一次网络入侵中，黑客通过打电话给亚马逊服务台就进入了某人的账户，他们甚至连电脑都没碰。

“首先你打电话给亚马逊，告诉他们你是账户持有人，并想在账户上增加一个信用卡号。你只需要帐户上的名称、关联的电子邮件地址和帐单地址。然后亚马逊就允许你输入一张新的信用卡。”

“接下来打电话给亚马逊，告诉他你无法访问账户。在提供姓名、帐单地址和前一次电话中的新信用卡号码后，Amazon将允许在帐户中添加新的电子邮件地址。之后你就可以进入亚马逊网站，将电子邮件密码重置。”

更糟糕的是，既然你能访问某人的亚马逊账户，你就可以看到他们实际信用卡号的最后四位数字，根据《连线》杂志的说法，“访问某人苹果ID所需的全部信息”，除了他们的姓名和地址之外，就是“信用卡的最后四位数字”。通过访问一个服务器，拿到了另一个服务器的密匙，且两个服务器并不相关。

Twitter攻击的全部细节仍有待披露，但据我们目前所知，幕后黑手柯克获得了Twitter内部管理面板的权限，并任意更改了电子邮件和密码。

但是他是怎么拿到Twitter管理面板的权限的呢？据《纽约时报》报道，他“找到了一条进入Twitter内部Slack信息通道的途径，能看到发布在那里的信息，以及可以访问公司的服务器。”

这是一种高科技版本的入侵，看到安全密码写在白板上。就像上面亚马逊和苹果的黑客攻击一样，访问一个服务器就可以访问另一个安全性更高的服务器，我们称之为“升级入侵”。

图源：unsplash

为了访问奥巴马的Twitter帐户，攻击者从Twitter的Slack帐户开始。奇怪的是，一家无关的公司意外地、不知不觉地掌握了这些密匙。

我们还不知道柯克是如何进入Twitter的Slack账户的。但我们知道过去人们是如何进入Slack账户的：搜索GitHub。在编写软件时，开发人员有时会与其他产品集成。为此，他们要使用一个API密钥，它本质上是一个特殊的计算机密码，允许开发人员编写的代码与其他服务(比如Slack)一起工作。

有时，开发人员会意外地将这些密钥保存到他们的公共源代码存储库中。如果有人知道他们在找什么，那么他们就可以在GitHub中搜索并在那里找到密钥。即使现在，GitHub中也有成千上万可见的密匙。

这或许不是柯克访问Twitter Slack的方式，还有很多其他的方法，也许他钓鱼了一个Twitter员工。Twitter在一份声明中说，他们发现了“一场有组织的社会工程攻击，目标是我们的一些员工”。他们在博客上补充道，“攻击者成功地操纵了一小部分员工，并利用了他们的资信。”

还有其他一些巧妙的黑客攻击，比如这个利用服务台发送了电子邮件。但事情可能没有这么复杂，有人认为他“只是贿赂了一名推特员工”，让他们可以访问Slack。

图源：unsplash

我的朋友在一家大公司从事信息安全工作，他给我讲了一个故事，有一次黑客猜中了一位知名员工的密码，是密码1。黑客行为被发现后，安全团队就将该账户上锁，并联系此人更改密码。但下周他的账户又被黑客入侵了。

“他们这次是怎么破解的？”我问，他把密码改成了密码2。

尽管我们拥有各种聪明的安全措施——庞大复杂的保险箱、软件库和漏洞检查，但每个系统中最薄弱的部分仍然是人类自己。

一起分享AI学习与发展的干货

欢迎关注全平台AI垂类自媒体 “读芯术”

（添加小编微信：dxsxbb，加入读者圈，一起讨论最新鲜的人工智能科技哦～）

入侵Twitter很容易：最大型黑客入侵背后的方法出人意料的简单相关推荐

判断手机是否被黑客入侵的7种方法
我们的智能手机就是我们的生活.我们在它们上面做所有的事情,并且花费了很多时间,所有主要的手机制造商和应用程序开发人员都不得不开始引入数字健康功能来遏制我们的瘾.但是,如果黑客能够破解我们的Androi ...
大型互联网公司如何防止黑客入侵？(下)
入侵威胁预警是否真的有效? 而时下最火爆的AI是否也可以对黑客入侵做出有效的检测~ 入侵检测基本原则不能把每一条告警都彻底跟进的模型,等同于无效模型.入侵发生后,再辩解之前其实有告警,只是太多了没跟 ...
大型互联网公司如何防止黑客入侵（上）
如何知道自己所在的企业是否被入侵了? 是没人来"黑", 还是因自身感知能力不足, 暂时还无法发现? 其实,入侵检测是每一个大型互联网企业都要面对的严峻挑战.价值越高的公司,面临入侵 ...
浅谈大型网络入侵检测建设
博文作者:xti9er[TSRC] 发布日期:2013-07-10 阅读次数:7063 博文内容: 一.前言伊朗2010年被报出核工厂遭受"超级工厂"(Stuxnet)病毒攻击, ...
被黑客入侵了怎么办_被黑客入侵后该怎么办
被黑客入侵了怎么办 Evernote became the latest member of the "we've been hacked" club. And the thing ...
/wp-cron.php_通过CRON / PHP快速检测被黑客入侵的文件：SuperScan
/wp-cron.php As a Certified Ethical Hacker, I'm fully aware that prevention is the best tactic to pr ...
青藤云安全张福：我们可以用“免疫系统”对抗黑客入侵吗？
我们对黑客的最初认识,可能都来自于"病毒". 通俗来说,无论什么黑客入侵什么系统,大多都需要在系统内部植入代码.这些代码或者可以"自我繁殖",或者可以" ...
一场惊心动魄的国际黑客入侵保卫战
话说去年九月份教师节前夕,我基于国外开源程序woredpress搭建了感恩教师节网站和小程序,具体可参考我之前的博客<[实战]感恩教师节小程序制作>,为了实现投稿功能,当时我把网站开放注册 ...
防止黑客入侵的五大技巧
2019独角兽企业重金招聘Python工程师标准>>> 防止黑客入的方法有很多,但是世界上没有绝对安全的系统.我们只可以尽量避免被入侵,最大的程度上减少伤亡.那么,接下来天下数据将为 ...

入侵Twitter很容易：最大型黑客入侵背后的方法出人意料的简单

入侵Twitter很容易：最大型黑客入侵背后的方法出人意料的简单相关推荐

最新文章

热门文章