摘要:
我們喜歡社交媒體,使用很多社交媒體應用,比如Facebook、Twitter、微信和微博等。在網絡上,社交媒體賬號是我們的代言人,因此賬號安全相當重要。近日,Twitter CEO傑克·多西的推特賬戶被黑,連續發佈多條種族主義言論,引起廣泛關注。問題或許在於Twitter的設計是不安全的。
據外媒 Securityaffairs 報道,Twitter CEO 兼聯合創始人傑克·多西的推特賬戶遭黑客入侵。黑客在控制該賬戶後,利用這個賬號發佈多條攻擊性和種族主義的推文。
關於此事詳情,可以查看筆者前篇文章《Twitter CEO 傑克·多西的推特賬號被黑,黑客是如何得手的?》。
對傑克·多西來說,這種事情並不是第一次。2016 年,一羣名爲 OurMine 的黑客對傑克·多西進行了類似的攻擊,允許他們在傑克·多西的推特賬號上發帖。這個黑客團體曾經還接管了谷歌 CEO 桑達爾·皮查伊、Facebook CEO 馬克·扎克伯格的社交媒體賬號。
黑客利用SIM卡交換攻擊,欺騙電信運營商,將用戶的手機號碼轉移到犯罪分子的 SIM 卡上。一旦犯罪分子控制用戶的手機號碼,就能用它重置受害者的密碼並登錄他們的在線賬戶。通過控制傑克·多西的電話號碼,黑客通過短信直接將推文發到他的推特賬號上。
從另一個方面看,黑客屢次成功實施SIM卡交換攻擊,或許在於Twitter的自身設計是不安全的。這話怎麼說?
一篇《Twitter is Insecure by Design - Just Don’t Tell the President》的文章指出,Twitter的產品設計是不安全的,其安全模型存在嚴重缺陷。
Twitter的安全模型存在嚴重缺陷
隨着我們安全意識和隱私意識的增強,像雙因素身份驗證和安全鑰匙等新的安全方式開始出現。當前,雙因素身份驗證已經是大多數人進入網站登錄選項的核心部分,Twitter就是其中之一。
當我們啓用雙因素身份驗證時,除了密碼,我們還指定了另一種身份識別方法。在過去,選擇的第二個身份驗證因素是SIM消息。如今,由於被稱爲SIM卡交換攻擊的網絡安全漏洞,SIM消息不再受到歡迎。
現在,我們青睞更聰明的解決方案——最智能的解決方式是安全鑰匙。安全鑰匙是我們可以隨身攜帶的專用硬件設備,將它插入我們的電腦用來證明是我們在登錄而不是一些隨機出現的攻擊者。
Yubikey是安全鑰匙中的勞斯萊斯 讓我們用它鎖定Twitter
我非常喜歡那些能提高安全和隱私的任何東西。所以,當我使用Yubikey 5 NFC保護我的推特賬戶時,我非常失望,因爲Twitter並不真正支持安全鑰匙。
如果嘗試使用安全鑰匙(例如Yubikey)保護你的Twitter賬戶,會出現一些問題:
當你在Twitter賬戶上啓用雙因素身份驗證(2FA)時,Twitter會堅持要求你註冊手機。好,這是標準的方式,沒有問題。這會成爲第一種雙因素身份驗證——SMS消息。
接下來,Twitter會爲你提供擴展雙因素身份驗證的選項,包括安全鑰匙。兩種雙因素身份驗證方式比一種方式好,尤其這種方式是SMS短信時。但是,這就是問題所在。
現在,你在賬戶中定義了安全鑰匙,但需要禁用SMS消息。由於SIM卡交換攻擊,SMS消息是一種根本不安全的驗證方法。因此,我們不想要SMS身份驗證,我們更喜歡安全鑰匙。
Twitter的雙因素身份認證選項,包括SMS消息
作爲一種驗證方法,Twitter不會讓你禁用SMS消息。你無法禁用它。如果你優先視安全鑰匙認證爲首選雙因素身份驗證方式,而不是SMS消息,那結果不會很壞。現在的情況是,你不能。
SMS是默認設置,因此即使你在賬戶中啓用安全鑰匙,Twitter也不會使用它。它會自動向你發送SMS身份驗證消息。這真是“唱反調”。
Twitter雙因素身份驗證—SMS或沒有
當你嘗試禁用SMS作爲雙因素身份驗證方式時,它會禁用雙因素身份驗證。因此,即使已經使用專用安全鑰匙保護Twitter賬戶,你在Twitter上進行雙因素身份驗證的選項是“SMS身份驗證”或“沒有”。
Twitter手機APP根本不支持安全鑰匙,一點兒都不支持。這就是Twitter設計不安全的原因。
作爲全球知名社交媒體應用,Twitter用戶超過5億,日活躍用戶數1.26億。如果Twitter的自身設計不安全,那麼意味着數億用戶賬戶均存在潛在的安全風險。作爲一般網民,Twitter賬戶被盜,亂髮一些推文,影響還不是很大。如果是知名人物,那後果就很嚴重了。比如美國總統特朗普。特朗普在Twitter上有6385萬粉絲,入駐白宮後,他一直勤於發推文,以致有人用“推特治國”來形容他。