7月15日,推特以一种史诗般的方式被黑客入侵. 一个接一个, 许多账户被盯上并遭到破坏, 包括埃隆·马斯克等知名用户的认证账户, 比尔盖茨, 巴拉克•奥巴马(Barack Obama), 坎耶·维斯特和乔·拜登, 一些主要加密货币交易所的推特账户也开始发布这样的消息:
所有被入侵的推特账户都在推同样的比特币骗局. 在巅峰时期, 黑客们每秒钟都会从不同的推特账户发出几条诈骗信息. 这可以通过搜索正在使用的比特币地址来观察推特上的推文积累来验证.
推特 随后声明 只有130个账户受到攻击,其中只有45个账户被成功攻破. @RachelTobac第一次对黑客攻击的原因做出了准确的推测:
推特最初被这次攻击打了个措手不及,这次攻击有效地利用了推特通常用来保护个人账户的工具. 就像恶意推文被清除一样快, 他们仍然有可能被同一账户的黑客取代. 举个例子, 这条来自奥巴马账号的推文被删除,但不久之后又被重新发布.
这要归功于推特安全团队, 只花了很短的时间就想出了如何阻止这次攻击.
首先,被使用的单个比特币地址被禁止出现在任何推特消息的正文中.
承认问题的严重程度, 推特随后限制并关闭了许多账户(尤其是经过认证的账户)发推文.
许多信息安全专业人士强调,尽管黑客(或黑客)表现出相当熟练的技能水平, 参与其中的人看起来也是新手. 最重要的是, 他们烧掉了一个非常有价值的漏洞(推特无疑会为此支付巨额漏洞赏金),试图获得少量非常可见(且合理可追踪)的比特币.
有多少人上当受骗? 我最初起草这篇文章的时候正好是374年,几天后是394年, 总共不到13个比特币, 与推特股价近4%的短期跌幅相比,这是微不足道的.
黑客是如何做到的?
目前所知道的是,黑客精心策划了一系列针对推特员工的社会工程攻击,这些员工可以访问推特可以用来恢复和重置账户的内部管理工具.
然而,这是对整体攻击的一种过于简单化的看法.
任何人读过 网络安全初学者指南 会知道我断言所有的重大入侵或黑客攻击都不是由于单个安全控制的失败,而是需要至少三个关键或主要控制被破坏. (网络安全初学者:第12章 -风险叠加)
网络安全阴谋论比比皆是——但这是基于我自己的安全管理和安全审计经验, 我认为最有可能发生的一系列事件和安全控制失败将会如下:
- 由于冠状病毒, 一些推特员工被允许远程运行内部管理功能(在家工作)。.
- 也可能是允许部分或全部员工在自己的设备(BYOD)上运行这些功能。.
- 在这种情况下,社会工程骗局在利用真实事件时效果最好, 很可能是微软Outlook桌面的短暂全球中断. 在我看来 如何入侵人类,我把这种技术称为 追逐风暴:
- 由于电子邮件中断,社会工程呼叫可以假装是使用非标准身份验证的内部推特支持服务.
- 通过指示一些员工执行某些操作, 这些员工可能已经授予了对其设备的远程访问权限——这可以用来抓取管理访问凭据,或者简单地从这些设备中支点管理工具访问. (毫无疑问, 推特将有MFA多因素身份验证到他们的管理控制台, 所以仅仅获得密码是不可想象的.)
- 此时此刻, 我们来看看所有安全故障中最关键的一个, 不充分的PAM(特权帐户管理)意味着对用于重置和管理推特帐户的内部推特工具的流氓访问可以在相当长的时间内(从安全角度来说)不受惩罚地进行操作——大约一个小时或更长时间.
这次攻击是否也使用了自动化或脚本? 考虑到诈骗信息被张贴的速度,这是可能的, 但它很可能是由一个小黑客澳门赌场官方下载发起的,因为许多消息似乎都包含了发送者的附注(比如“#Enjoy”)。
(更新:自从第一次写这篇文章以来, 最初的指控是 一个流氓内部人员被收买并参与了黑客攻击. 随后看来,这是其中一名黑客发出的虚假信号. 黑客似乎也来自英国,而且一直是 准备进攻有一段时间了.)
最终, 这次黑客攻击的后果可能会更糟——正如一位用户当时指出的那样:
编者按: 这类事件凸显了对强大网络成熟度的迫切需求. 了解更多关于ISACA的CMMI网络成熟度平台 here.
