掌管着全世界数亿个Twitter账号密码的Twitter CEO杰克·多西(Jack Dorsey)一定想不到,自己的Twitter账户竟然也被黑了。
(图自:wsj)
这次的“凶手”依然是那个名为 “OurMine” 的三人黑客团队。OurMine之前已经成功黑过Facebook CEO马克·扎克伯格和Google CEO桑达尔·皮扎伊的Twitter账户。
OurMine在破解了多西的Twitter账号和密码之后,先是用他的账号推了几个“无公害”的视频片段,接着又发了一句话:
Hey, its OurMine, we are testing your security.
(图自:twitter)
当然,这条文字被很快删除。不过,由于那些被推出来的视频都是来自于Vine(Twitter旗下的短视频应用),所以很有可能是多西在Vine上使用了与Twitter相同的密码,或者说是其他相关的账号被盗取,从而被OurMine套用在Twitter上并成功破解。
为什么又是Twitter ?
OurMine 团队陆续黑了三个重要科技人物的Twitter 账号,除了让人对 OurMine 的目的进行质疑以外,还想知道为什么他们的 Twitter 账户会被盗取。
原因也许很简单:因为他们在不同的网络账号上使用了相同的密码。
6月初发生的扎克伯格 Twitter 账户被盗事件,其实是因为 OurMine 首先获得了小扎在 LinkedIn 上的泄露数据,并且破解了 SHA1加密过的密码。然后黑客再利用这些数据,成功进入到小扎的 Twitter。令人大跌眼镜的是,小扎的密码竟然是“dadada”。
(图自:onedio)
Google CEO 皮扎伊的 Twitter 账号被黑与之类似。OurMine 先通过 Quora 平台上的一个漏洞获得了密码;然后又通过 Quora 密码在 Twitter 上试了一下,结果竟然登录成功。
至于多西的,十有八九与也 Vine 有关。
除了这些比较显眼的账户被黑事件,最近 Twitter 还有一次大规模的账号泄露。
据报道,同样是在6月,有超过3200万 Twitter 用户的登录信息在“暗网”出售,包括用户名、邮箱地址和明文密码等。不过据 Twitter 调查称,这些信息可能是之前一系列社交网络被黑事件所致,也有部分是恶意软件从用户那里收集到的数据。
爱范儿(微信 ID:ifanr)此前曾经报道,为了保护这些出现在“暗网”上的账号,Twitter 对出现在“暗网”上的账户信息进行了核查并提前锁定,同时给相关用户发送了邮件通知。
(图自:appmobi)
但是在 Twitter 信息安全部门负责人 Michael Coates 看来,在不同网站使用相同密码依然是账户安全风险的主要原因。他说:
最近来自于部分网站的数据泄露,实际上已经对所有的网站造成了威胁。那些攻击者将用户名、邮箱、密码等信息挖掘出来,然后在其他各大网站进行“撞库”尝试。所以那些在多个网站使用相同账号密码的用户账户极易被黑客控制。
OurMine 到底是什么鬼?
凭借这几次夺人眼球的 Twitter 账号控制,OurMine 在最近一两个月也算是出尽风头。那么 OurMine 到底是一个什么样的所在?
有一点可以确定的是,OurMine 黑掉别人的账号密码不是为了威胁或恐吓,也看不到什么实际的利益。它不修改密码,通常会在被黑的账号上发表一个声明称是在测试账号的安全,然后坐等声明被删,账号被官方恢复。
OurMine 有一个以 .org 为域名后缀的网站,看起来似乎是一个非盈利组织。但是在打开网站之后,却看到这样的页面:
(图自:OurMine)
简单来说,它为个人和公司提供付费的账户安全测试服务,价格从30美元到5000美元不等。如果不成功的话,还可以退款。
这是赤裸裸的商业行为。
但是在《连线》杂志的一次线上匿名采访中,OurMine 的其中一员却坚持认为 OurMine 只是为了警醒用户。他说:我们不需要钱,我们之所以提供安全服务,是因为很多用户需要它。我们不是黑帽黑客,我们是一个安全团队。我们想告诉大家没有人是安全的。
当被问到是否有人购买网站上的安全服务的时候,那个匿名受访者称他们已经收到了18400美元,并提供了一张5000美元的订单截图。订单上写的是来自 Conversely 公司 和 TruthFinder 公司的支付。但是后来当《连线》向 Conversely 求证的时候,Conversely 却说根本没有这回事。
(图自:OurMine)
除了上述服务,OurMine 的网站上还开辟出一个专门的板块来发布一些重点账号被黑的消息,显得非常高调。那么,既然 OurMine 的目标是为了提醒安全,那么为什么不私下通知那些被黑的账户呢?
这位匿名受访者回答说:他们忽略了我们,所以我们只能证明给他们看。我们没有做错。
====================================分割线================================
本文转自d1net(转载)