他們黑了 Twitter CEO 的 Twitter 賬號，只是為了證明自己精選

由愛範兒於 10/07/2016 發表收藏文章

http://ifanr-cdn.b0.upaiyun.com/wp-content/uploads/2016/07/www.jpg

圖片來源：b0.upaiyun.com

掌管着全世界數億個 Twitter 賬號密碼的 Twitter CEO 傑克·多西（Jack Dorsey）一定想不到，自己的 Twitter 賬户竟然也被黑了。

http://ifanr-cdn.b0.upaiyun.com/wp-content/uploads/2016/07/docy.jpg

圖片來源：b0.upaiyun.com

（圖自：wsj）

這次的“兇手”依然是那個名為 “OurMine” 的三人黑客團隊。OurMine 之前已經成功黑過 Facebook CEO 馬克·Mark Zuckerberg和 Google CEO 桑達爾·皮扎伊的 Twitter 賬户。
OurMine 在破解了多西的 Twitter 賬號和密碼之後，先是用他的賬號推了幾個“無公害”的視頻片段，接着又發了一句話：

引用Hey, its OurMine, we are testing your security.

http://ifanr-cdn.b0.upaiyun.com/wp-content/uploads/2016/07/4444.jpeg

圖片來源：b0.upaiyun.com

（圖自：twitter）

當然，這條文字被很快刪除。不過，由於那些被推出來的視頻都是來自於 Vine（Twitter 旗下的短視頻應用），所以很有可能是多西在 Vine 上使用了與 Twitter 相同的密碼，或者説是其他相關的賬號被盜取，從而被 OurMine 套用在 Twitter 上併成功破解。

為什麼又是 Twitter ？

OurMine 團隊陸續黑了三個重要科技人物的 Twitter 賬號，除了讓人對 OurMine 的目的進行質疑以外，還想知道為什麼他們的 Twitter 賬户會被盜取。

原因也許很簡單：因為他們在不同的網絡賬號上使用了相同的密碼。

6 月初發生的Mark Zuckerberg Twitter 賬户被盜事件，其實是因為 OurMine 首先獲得了小紮在 LinkedIn 上的泄露數據，並且破解了 SHA1 加密過的密碼。然後黑客再利用這些數據，成功進入到小扎的 Twitter。令人大跌眼鏡的是，小扎的密碼竟然是“dadada”。

http://ifanr-cdn.b0.upaiyun.com/wp-content/uploads/2016/07/da.jpg

圖片來源：b0.upaiyun.com

（圖自：onedio）

Google CEO 皮扎伊的 Twitter 賬號被黑與之類似。OurMine 先通過 Quora 平台上的一個漏洞獲得了密碼；然後又通過 Quora 密碼在 Twitter 上試了一下，結果竟然登錄成功。

至於多西的，十有八九與也 Vine 有關。
除了這些比較顯眼的賬户被黑事件，最近 Twitter 還有一次大規模的賬號泄露。

據報道，同樣是在 6 月，有超過 3200 萬 Twitter 用户的登錄信息在“暗網”出售，包括用户名、郵箱地址和明文密碼等。不過據 Twitter 調查稱，這些信息可能是之前一系列社交網絡被黑事件所致，也有部分是惡意軟件從用户那裏收集到的數據。

愛範兒（微信 ID：ifanr）此前曾經報道，為了保護這些出現在“暗網”上的賬號，Twitter 對出現在“暗網”上的賬户信息進行了核查並提前鎖定，同時給相關用户發送了郵件通知。

http://ifanr-cdn.b0.upaiyun.com/wp-content/uploads/2016/07/ad.jpg

圖片來源：b0.upaiyun.com

（圖自：appmobi）

但是在 Twitter 信息安全部門負責人 Michael Coates 看來，在不同網站使用相同密碼依然是賬户安全風險的主要原因。他説：

引用最近來自於部分網站的數據泄露，實際上已經對所有的網站造成了威脅。那些攻擊者將用户名、郵箱、密碼等信息挖掘出來，然後在其他各大網站進行“撞庫”嘗試。所以那些在多個網站使用相同賬號密碼的用户賬户極易被黑客控制。

OurMine 到底是什麼鬼？

憑藉這幾次奪人眼球的 Twitter 賬號控制，OurMine 在最近一兩個月也算是出盡風頭。那麼 OurMine 到底是一個什麼樣的所在？
有一點可以確定的是，OurMine 黑掉別人的賬號密碼不是為了威脅或恐嚇，也看不到什麼實際的利益。它不修改密碼，通常會在被黑的賬號上發表一個聲明稱是在測試賬號的安全，然後坐等聲明被刪，賬號被官方恢復。

OurMine 有一個以 .org 為域名後綴的網站，看起來似乎是一個非盈利組織。但是在打開網站之後，卻看到這樣的頁面：

http://ifanr-cdn.b0.upaiyun.com/wp-content/uploads/2016/07/3-12.jpg

圖片來源：b0.upaiyun.com

（圖自：OurMine）

簡單來説，它為個人和公司提供付費的賬户安全測試服務，價格從 30 美元到 5000 美元不等。如果不成功的話，還可以退款。

這是赤裸裸的商業行為。

但是在《連線》雜誌的一次線上匿名採訪中，OurMine 的其中一員卻堅持認為 OurMine 只是為了警醒用户。他説：

引用我們不需要錢，我們之所以提供安全服務，是因為很多用户需要它。我們不是黑帽黑客，我們是一個安全團隊。我們想告訴大家沒有人是安全的。

當被問到是否有人購買網站上的安全服務的時候，那個匿名受訪者稱他們已經收到了 18400 美元，並提供了一張 5000 美元的訂單截圖。訂單上寫的是來自 Conversely 公司和 TruthFinder 公司的支付。但是後來當《連線》向 Conversely 求證的時候，Conversely 卻説根本沒有這回事。