针对推特名人账户的大规模黑客攻击预示着一场全球安全危机？

你不能说你没有预见到它的到来。

2020年7月15日，推特（Twitter）遭遇其公司历史上最具灾难性的安全漏洞，无论推特最终对此如何评价，必须承认，这一事件在数年前就已拉开了序幕。

从2018年春天开始，骗子们就开始冒充著名的加密货币爱好者埃隆·马斯克的身份。他们会使用他的头像，选择一个与他相似的用户名，然后在推特上发布一条尽管好得令人难以置信但充满诱惑的提议：给他发送一点加密货币，他就会发还给你很多。有时，诈骗者会回复一个经过验证的关联账户（比如马斯克拥有的SpaceX）以增加该账户的合法性。出于同样的目的，骗子还会通过机器人网络大肆扩散虚假推文。

2018年的事向我们证明了三点。第一，至少每次都有人上当，这无疑足以刺激更多的诈骗企图。第二，推特对这一威胁反应迟缓，而在该公司首次表态将认真对待这一问题时，它早已存在很久了。第三，骗子的要求加上推特最初的反击措施形成一种猫鼠游戏，刺激了坏人采取更肆无忌惮的手段来制造严重破坏。

事情演变到今天这个地步。Verge的Nick Statt报道说：

大公司和名人推特账户在该平台前所未见最广泛、最令人惊愕的黑客攻击中受到了损害，而所有这些攻击都是为了实施一场比特币骗局，目的是让骗局的发起者发一笔横财。

我们不知道这是怎么发生的，也不知道推特的系统被入侵到何种程度。这次黑客攻击表面上已经平息，但美国东部时间当天下午4点后不久，新的诈骗推文又开始定时发向认证账户，持续了两个多小时。推特在保持了一个多小时沉默后承认了这一情况，并于美国东部时间当天下午5点45分在其技术支持账户上写道：“我们注意到一次安全事件对推特账户造成了影响。我们正对此展开调查并采取措施进行修复。我们将很快做出更新。”

被黑的账户包括美国总统巴拉克·奥巴马、乔·拜登、亚马逊CEO杰夫·贝佐斯、比尔·盖茨、苹果和优步的公司账户，以及流行说唱歌手坎耶·维斯特（俗称“侃爷”）。

但它们是后头冒出来的。第一个被黑掉的名人账户是谁？当然是埃隆·马斯克。

在攻击开始的数小时内，人们就被骗向黑客发送了超过11.8万美元。攻击者似乎还可能获取了大量敏感私信。然而，更令人担忧的是袭击展开的速度和规模，以及由此引发的对国家安全的巨大担忧。

当然，第一个也是最明显的问题是，这是谁干的，怎么干的？截止目前我们还不得而知。Vice报道网络安全最好的记者之一约瑟夫·考克斯称，地下黑客社区成员分享的截图显示，有人进入了推特内部账户管理工具。考克斯写道：

接近或来自地下黑客社区内部的两名消息人士向Motherboard提供了一张内部小组截图，声称推特工作人员使用该小组与用户账户进行互动。一位消息人士说，该推特小组还被用来改变一些名称只有一两个字符的所谓OG账户的所有权，同时为通过名人账户发布加密货币骗局推文提供便利。

Twitter一直在删除该小组截图并暂停了转发该截图的用户的账户，称这些推文违反了其规则。

进一步猜测是不负责任的，但考克斯的报道表明，这不是普通黑客行为，一群人重复使用了他们的密码，或者某个黑客使用社交工程（social engineering）说服AT&T交换SIM卡。一种可能是黑客入侵了推特内部工具，考克斯提到的另一种可能性是推特的一名员工卷入了这起事件。如果这是真的，这将是今年推特被披露的第二起内部作案。

无论如何，推特对该事件的回应提供了进一步的原因。该公司最初的推文对此事几乎只字不提，两个小时后才跟着说出许多用户自己发现的事实：推特禁用了许多验证用户发推文或重置密码的功能，同时致力于解决此次黑客攻击的根本原因。

政客、名人和国家记者团的近乎集体沉默使推特成了大众消遣的对象，但是此举还有其他更悲观的后果。无论是好是坏，推特都是世界上最重要的通讯系统之一，其用户中有与紧急医疗服务相关的账户。例如，位于伊利诺伊州林肯市的国家气象局在突然被黑之前刚刚发布了一个龙卷风警报。对依赖该账号获得这些龙卷风的进一步信息的人来说，他们运气不太好。

当然，推特暂停认证账户发布推文的举动，意味着对公平公正的一次艰难平衡。你或许宁愿国家气象局不发推文，也不愿黑客把账户卖给坏人，后者登录后假称龙卷风正席卷美国的每个城市。但解决这一问题的笨拙方法（禁止359，000个认证账户中的很大一部分）反映了入侵的惊人规模。这是推特有史以来最接近关闭的一次。

这让你不禁想知道，如果某天接管公司的不是贪婪的比特币骗子，而是国家层面的行动者或精神变态者，该公司会采取什么紧急措施。从今以后，有人接管世界领导人的账号并试图发动一场核战争，如果这曾经是真的的话，将不再是不可想象的事情。

在这种情况下，密苏里州共和党参议员乔希·霍利给Twitter的CEO杰克·多西写了封信：

“我担心此次事件可能不仅仅是一系列彼此协调的独立黑客事件，而是一次对推特自身安全的成功攻击。如你所知，数百万用户依赖你的服务，不仅仅是公开发推文，也通过你的私信服务私下交流。对你的系统服务器的成功攻击，意味着对你所有用户的隐私和数据安全构成威胁。”

然而，就连霍利说得也还不够深入。这里的威胁不仅仅是针对用户隐私和数据安全，尽管这些威胁是真实具体的。它甚至可能会激发推特的惊人潜力，通过假冒身份和欺诈来煽动现实世界的混乱。如今，这一潜力已然成为现实，考虑到现在离美国总统大选还有不到四个月时间，唯一能担忧的是它会如何实现。

推特可能会在接下来几天里调查这一事件是如何发生的，刑事调查似乎也是有可能的。在此期间，该公司可能无法就上周三的事件给我们一个全面而满意的解释。但最重要的是，推特要尽可能多地分享今天发生的事情，同样重要的是，它会做些什么来确保这种事情不再发生。

在上周三的灾难发生之后，说我们这个世界可能有些前途莫测似乎并不夸张。

来源：Verge，作者：Casey Newton

编译：Sail2008

声明：著作权所有，转载需授权，严禁抄袭，违者必究！

更多精彩内容，请关注我们。

Come on，给你的灵魂充充电！