互联网|推特大规模被黑 币安、苹果、亚马逊以及前总统 戳进来看看防范建议?
本文插图
外汇天眼APP讯 : “你给我100红包 , 我明儿给你200怎么样 。 ”
本文插图
敢发红包笃定能收到回馈的 , 怕是只有最信任的人了 。 法制节目经常会播放一些类似的骗局来警示大家 。 然而能上当的本质还是在于这两个字:信任 。
北京时间2020年7月16日凌晨三点左右 , CertiK安全团队的研究人员检测到 , 著名社交网站推特(Twitter)上多位有影响力的大V账户被盗 。 这些被盗的账户全部都发布了如下的比特币钓鱼信息 。
“为了回馈大家(为了支持比特币) , 现在对大家进行回馈 。 你只要给以下地址转账1000美金 , 我就返还你2000美金 。 活动仅限半小时!”
本文插图
以上图片内容均来自CertiK安全截图
此次黑客攻击始于区块链行业 , 如Gemini交易所、Coinbase交易所、币安交易所的CEO赵长鹏、Tron的CEO孙宇晨 , 区块链Coindesk , 均受到攻击并发布相关消息 。
本文插图
以上图片内容均来自CertiK安全截图
后来索性在推特上呈现了病毒式传播 , 包括比尔·盖茨 , 亚马逊创始人Jeff bezos, 彭博社创始人Bloomberg , 苹果官方账号 , 特斯拉CEO Elon Musk, 著名歌手侃爷Kenye West、美国前总统奥巴马和约瑟夫·拜登等人的账号 , 无一幸免 。
本文插图
以上图片内容均来自CertiK安全截图
黑客攻击了著名社交网站推特 , 一个大家都不怎么相信就连美国前总统账户也会被黑的一个网站(虽然早就怀疑美国的现任总统早就被黑了) 。 利用了民众对推特的信任以及名人的公信力 , 让大家认为这次活动是真的 。
本文插图
到目前为止 , 黑客的账户一共收到了12.86个BTC , 折合美金118,209刀 , 人民币825,805元 。
本文插图
黑客交易地址信息截图
目前网络上的谣言
1. Twitter员工账户被黑 , 黑客获得管理后台访问权限
在telegram上爆出的截图疑似是Twitter员工的后台管理界面 。 黑客可以通过后台管理界面修改用户邮箱 , 之后把重置密码的链接发送到自己控制的邮箱中 , 以此来取得目标账户的控制权 。
本文插图
【互联网|推特大规模被黑 币安、苹果、亚马逊以及前总统 戳进来看看防范建议?】
2. 黑客利用最近爆出的漏洞攻击Twitter服务器 , 获得管理后台访问权限
在昨天 , 一个关于Windows的DNS服务器的漏洞(CVE-2020-1350)被公开 , 攻击者可以通过发送特定的请求 , 从而远程执行任意的代码 。 有人就此提出了这样一个猜想:Twitter有一个公开的MS DNS服务器 , 这个服务器并没有对CVE-2020-1350进行修复 , 攻击者通过此漏洞获取了该服务器的控制权 , 而因为Windows DNS服务器是核心网络组件 , 该漏洞可引发蠕虫式传播 , 且无需用户交互和身份验证 , 攻击者由此进入了Twitter内部的后台管理界面 , 然后通过该界面修改用户邮箱 , 把重置密码的链接发送到自己控制的邮箱中 , 以此来取得目标账户的控制权 。
本文插图
Twitter官方回应
目前各个账户被黑的原因还未被官方公开 , 推特也于北京时间当日凌晨5:45分进行了官方回复 , 表示会尽快调查原因 。
本文插图
随后Twitter 表示在调查期间 , 某些用户的发推和重置密码的功能可能会无法使用 。
本文插图
安全措施及建议
社交网站一两个账号被盗的事件也许经常有 , 但是大规模被黑客袭击的事件 , 也许又能算作2020魔幻一年的大事记了 。 在这里CertiK安全团队整理了一些加强 Twitter账户安全的措施 。
1. 取消被授权使用你Twitter账户的应用
登陆Twitter后 , 在More -> Settings and privacy -> Account -> Data and permissions -> Apps and sessions 里面可以看到当前被授权获取你Twitter相关权限的应用和登陆了的Sessions 。 CertiK安全团队推荐定期检查被授权的Apps, 及时移除不必要的Apps. 登出可疑的Sessions.
本文插图
2. 开启二次验证
登陆Twitter后 , 在More -> Settings and privacy -> Account -> Security -> Two-factor authentication界面开启二次验证 , 二次验证的方法有手机短信, Google Authentication app , 和物理形式的Security Key 。 使用二次验证可以防止黑客在接触到用户的账号密码的情况下 , 盗取用户账号 。
本文插图
在安全上的投入不足
Twitter在HackerOne漏洞赏金平台上面有设置漏洞赏金计划(https://hackerone.com/twitter). 有人指出了Twitter对于Account takeover(账号盗取)类型的漏洞 , 只给予7700美金的奖励 , 而这次黑客利用此类漏洞 , 已经盗取了10万美金以上的金额 。 这样的对比 , 引人深思 。
本文插图
安全对于一个公司来讲 , 没被黑的时候觉得无所谓 , 不愿意在安全上投入金钱 。 而真正在被黑之后 , 所造成的损失是不可计量的 。
本文插图
在这里 , CertiK想提醒大家 , 就算是看起来非常厉害的推特 , 也可能会遭到黑客攻击 。 所以不要过于相信某个项目有着百分之百的安全 , 一旦有了0.00000000000001%的可能性被攻击 , 按照墨菲定律 , 也一定会发生 。 因此在安全上的投入 , 是必不可少的 。 CertiK作为世界顶级的区块链安全 , 就是要帮助你找到那0.00000000000001%的漏洞 , 并且消除它 。 如果您的项目有需求 , 欢迎发送邮件至bd@certik.org进行咨询 。
推荐阅读
- 企业工会|防止大规模裁员,德国工会提议:推行每周4天工作制
- 移动互联网|微信终于有这个功能了!但尴尬的是……
- 人民网-俄罗斯频道|俄伽马列伊中心:新冠疫苗大规模接种将于1个月后启动
- 锐博集团|广东将大规模开展“互联网+”职业技能培训,参加可获补贴
- 逃离城市|西媒:美国出现大规模“逃离城市”浪潮
- 互联网|生态圈时代:如何让江苏文创IP产业化?
- 互联网|两分天下的在线外卖市场用户投诉也更集中
- 互联网电商|呼伦贝尔“无人之地”变“网红”:“直播+电商”成新农活儿
- 课堂管理|新课堂保卫战!“互联网+教育”期盼更多网红
- 行业互联网|乘风破浪的容联AI 助推5G新基建提速