入侵Twitter網站18歲駭客現身 輕鬆獲控制權

據國外媒體報導,本週一成功入侵美國知名微型部落格網站Twitter的駭客週二已經現身,這名年齡僅18歲的美國駭客當天在接受美國IT雜誌《連線》科技部落格專欄Threat Level電話採訪時表示,通過自製的密碼破解工具,他輕鬆獲得了Twitter管理團隊的登錄密碼。他當天還表示,去年11月發生的YouTube用戶 帳號入侵事件也是自己所為。

Twitter 管理團隊週一晚些時候在該公司官方部落格中表示,週一上午(美國當地時間)發生了一起嚴重駭客入侵事件,一名駭客當天成功入侵Twitter網站,利用Twitter提供的客戶服務工具,更改了33位美國名人和企業用戶 Twitter帳號的密碼,並在相應個人資料頁面中張貼損貶當事人的低俗內容。受到攻擊的Twitter帳號包括美國下任總統巴拉克•歐巴馬 (Barack Obama)、知名歌星「小甜甜」布蘭妮(Britney Spears)等。


入侵Twitter網站的這名美國駭客沒有透露其真實身份,僅表示自己來自美國東海岸,目前是在校學生,在美國駭客圈的網名為「GMZ」。GMZ稱,他這次入侵Twitter僅是屬於好奇,並首先向一位看上去人氣很高的Twitter用戶「下手」,恰好這位用戶又是Twitter客戶支援團隊成員之一,因此GMZ破解了這位客戶支援人員的密碼之後,便獲得了Twitter線上客戶服務工具的控制權。

GMZ稱,自己首先使用密碼破解器對這位Twitter客戶服務團隊人員發起字典式攻擊 (dictionary attack),以猜測該工作人員會使用哪個英語單詞(或詞組)作為登錄密碼。在密碼破解器自動長時間工作後,GMZ發現這位客服人員的密碼為英文單詞「幸福」(happiness)。
GMZ表示,破解Twitter用戶登錄密碼過程並不複雜,原因是Twitter對同一用戶輸入不同密碼並無次數限制,「這顯然是Twitter管理團隊的重大安全失誤。我想Twitter管理團隊都不好意思承認這一點。」


取得網站管理控制權
週一Twitter入侵事件被媒體曝光後,美國駭客圈的一些人士初步認定,這起入侵事件應是GMZ所為。眼見如此,GMZ週二承認了此事,並答應接受《連線》Threat Level的電話採訪。
GMZ表示,自己週日晚在Twitter網站「閒逛」,並注意到一位網名為 「Crystal」的Twitter用戶出現頻度很高。他當時以為,Crystal在各條消息中出現的頻度很高,可能是因為她在Twitter的人氣很高,於是就決定破解Crystal的密碼。從週日晚起,GMZ就讓密碼破解器整晚運行,到週一上午11點時,他發現自己已獲得了Crystal帳號控制權。

此時GMZ又發現,Crystal並不是普通用戶,而是Twitter管理人員之一。如此一來,GMZ就輕鬆獲得了對其他普通Twitter用戶帳號的控制權。GMZ還承認,自己在進行上述入侵活動時,甚至都沒有使用代理服務器來隱藏自己IP位址,原因是認為這起入侵只不過是個小玩笑,而不會引起美國警方的注意,「我原以為此事不會成為媒體頭條。」

GMZ表示,在獲得Twitter管理控制權後,他還把相應訊息發送到美國一家名為Digital Gangster的駭客論壇,並與其他同道「共享」,「我等於是向其他駭客免費提供了Twitter連線帳號。」隨後該論壇約20名駭客向GMZ發出請求,希望獲得對歐巴馬Twitter帳號的控制權。GMZ更改歐巴馬Twitter帳號的登錄密碼後,然後將所更改密碼告知其中5名駭客。

Digital Gangster的其他駭客則要求獲得布蘭妮、Facebook、哥倫比亞廣播公司(CBS)新聞、Digg創始人凱文•羅斯(Kevin Rose)等個人或企業用戶在Twitter所設帳號的控制權。正因為如此,Twitter網站被更改帳號後,週一出現了大量低俗、虛假內容。

Twitter週一晚稱,共有33個Twitter帳號遭到了更改,並表示這一入侵事件同數天前Twitter發生的釣魚式攻擊有著根本區別,「我們發現了入侵事件後,立即封鎖了被入侵帳號。目前歐巴馬等人已重新獲得了對各自帳號的控制權。」

未參與發佈虛假內容
GMZ表示,自己僅僅是更改了歐巴馬等人Twitter帳號的密碼,但沒有參與這33個帳號上所出現各種低俗、虛假內容的發布。他還承認,在自己攻破Twitter之後一兩個小時內,Twitter管理人員已覺察到是GMZ在「搞鬼」,因此關閉了GMZ的Twitter帳號。

Twitter聯合創始人比茲•史東(Biz Stone)週二證實,週一的入侵者確實利用字典式攻擊獲取了網站管理權限。但史東既沒有透露遭到攻擊員工的具體姓名,也拒絕證實相應管理密碼是否是「happiness」,更沒有透露Twitter用了多長時間才發現有人已成功入侵網站管理系統。

史東表示,Twitter管理層已同所有被入侵的Twitter用戶進行了聯繫溝通,但目前還沒有就此事向美國聯邦調查局(FBI)或其他美國執法部門匯報,「至於如何處理此事,我們還在聽取Twitter法律顧問的意見。」他還表示,發生週一入侵事件後,Twitter管理團隊已加強了對用戶登錄安全的管理。

曾入侵YouTube用戶帳號
GMZ表示,自己從事駭客活動已經三年,目前主要學習遊戲開發。他還承認,去年11月,自己曾入侵美國青少年女影星麥莉•賽勒斯(Miley Cyrus)在Google旗下視訊共享網站YouTube所設立帳號;而GMZ一位朋友隨後上傳了賽勒斯已死於車禍的虛假視訊。GMZ表示,自己還曾利用字典式攻擊,成功獲得其他一些美國名人YouTube帳號的控制權。

在發生賽勒斯帳號入侵事件後,YouTube封鎖了GMZ的IP位址,並提高了安全預防措施。在這種情況下,GMZ就想到來Twitter「碰碰運氣」。他表示,自己完全沒有想到,Twitter竟然對用戶重複輸入不同登錄密碼的次數沒有任何限制。GMZ表示,自己只是偶然在YouTube看到其他用戶提到Twitter,之前從沒有聽說過該網站。

新聞來源:Weak Password Brings 'Happiness' to Twitter Hacker

相關新聞:社交網站Twitter被駭 歐巴馬小甜甜都受害

隨機文章


標籤:

0 意見:

張貼留言

訂閱: 張貼留言 (Atom)