員工被騙內部權限!Twitter 名人盜帳號事件為「社交工程」攻擊

俗話說得好,資安最大的漏洞就是「人」。社交工程攻擊用的不是高深的電腦技術,而是用詐騙的方式要到關鍵人物的驗證資訊,進而取得登入權限。
評論
△ Photo Credit: Shutterstock/ TPG Images
評論

推特(Twitter)上週爆發了嚴重的集體盜帳號事件,許多名人及公司官方帳號都被盜用並貼出詐騙比特幣的訊息,受害者包括歐巴馬、比爾・蓋茲、傑夫・貝佐斯、伊隆・馬斯克等名人,還有 Apple 及 Uber 等世界知名品牌的官方推特帳號。

針對此一大規模、高層級的盜帳號事件,推特在週末時發布官方公告,概述截至台灣時間上週六中午(美國時間上週五晚上 8:35)的調查進度。

「由於對此一事件的調查正在進行中,因此我們目前未提供部分細節——尤其是在補救方面,以保護工作的安全性。我們將在將來提供更多可以公佈的詳細訊息,以便相關社群和我們的同業,能從已發生的事情中學習並受益。」

As the investigation of this incident is unfolding, there are some details — particularly around remediation — that we are not providing right now to protect the security of the effort. We will provide more details, where possible in the future, so that the community and our peers may learn and benefit from what happened.  

截至目前,Twitter 認為駭客係透過社交工程的手段(a social engineering scheme),故意針對某些推特的員工經營,取得信任後獲得入侵推特內部系統的高級權限。

「社交工程」(social engineering)是在電腦工程界使用的術語,其實含義跟電腦工程技術無關,指的是使用類似現今流行的網路詐騙的手段,蓄意操縱對方執行特定行為,最後獲得隱私或機密資訊、入侵電腦系統等。 

駭客成功操縱了幾名推特員工後,使用他們的帳號進入 Twitter 內部系統,因此可以破解大多官方帳號都會啟用的兩階段保護(two-factor protections)。

目前已知的是,駭客使用了開發團隊才能使用的內部工具,針對 130 個 Twitter 帳號進行攻擊,而其中 45 個帳號成功被重設密碼,其中又有 8 個帳號甚至用後台功能「您的 Twitter 數據」(Your Twitter Data)成功下載了帳號活動歷史紀錄!針對這 8 個帳號,推特公司會直接與所有者聯絡後續事宜,不過這 8 個帳號沒有一個是經過認證的帳號(即俗稱「藍勾勾」的帳號)。

Twitter 在事發後一發現狀況不對,迅速先鎖定遭駭的帳號們,並撤銷駭客對內部系統的連線,以防止在緊急處理取回被駭帳戶的過程中,攻擊者進一步利用系統再攻擊其他帳號。(編輯推測,時間點應該是在推特官方帳號的這則貼文前後。)

除了這些在幕後的努力之外,也暫時先停止了在推特上貼文及更改密碼的功能,防止攻擊者繼續傳播他們的騙局。

推特再次重申,暫不透露更多執行細節,以保護其有效性,將來在可能的情況下會提供更多技術細節。

那麼,駭客究竟可從成功駭入的 130 個帳號中獲得哪些資料?Twitter 表示,駭客無法透過此次攻擊手法取得過去用過的密碼,因為這些密碼未以純文本形式儲存在伺服器,也無法在這次攻擊中使用的工具中取得;但駭客能夠察看使用者後台的個人資料,也就是說,可取得 email 地址與電話號碼。

其中被改了密碼的 45 個帳號,因為攻擊者已經成功接管了這些帳號,他們可能已經能夠查看其他個人資料。這部分的調查目前仍在進行中。

Twitter 將與檢調單位合作、加強資安系統,並強化員工的反社交工程訓練。

Twitter 團隊正在積極與受到影響的帳號擁有者直接聯絡,也公布了接下來的調查方向。透過這些,推特也開始了長期的行動,將與使用並依賴 Twitter 的人們重新建立信任。 

「我們高度認知到我們對依賴推特的使用者以及對整個社會的責任。我們很尷尬、很失望,最重要的是,我們很抱歉。我們知道,我們必須努力重新獲得您的信任,我們將付出一切能將攻擊者繩之以法的努力。」

We’re acutely aware of our responsibilities to the people who use our service and to society more generally. We’re embarrassed, we’re disappointed, and more than anything, we’re sorry. We know that we must work to regain your trust, and we will support all efforts to bring the perpetrators to justice.

核稿編輯:Mia

延伸閱讀:



疫情竟使童婚比例暴增?2023 年前將新增 400 萬女童被迫成婚

全球有無數女童正在面臨貧窮、家暴、性別暴力、失學的困境,在動盪不安的 Covid-19 威脅下,女童遭受的生命危機更勝以往,而你我都不該漠視。立即加入世界展望會的資助兒童計劃,不再讓悲劇發生。
評論
Photo Credit:世界展望會
評論

在新冠疫情、武裝衝突的影響下,阿富汗女性與兒童正面臨重大威脅,不僅人身自由、教育、工作等權利備受衝擊,近期更傳出 12 歲女童被強擄配婚給軍人的消息,使當地長期存在的「童婚」問題更加嚴重。事實上,不只是阿富汗,全世界仍有無數女童深陷在不安與恐懼中,面臨童婚、童工、貧窮,以及女性割禮等殘酷傳統文化等挑戰,這一關又一關的生存考驗,只因為她們是女生。

女童困境恐怕比你想像的嚴重——關於性別暴力、童婚

根據聯合國統計,每年有 1,200 萬未成年女童結婚,她們大多是因為民間習俗或經濟弱勢而被迫成婚,婚姻不僅逼迫這些女童放棄學業,其遭受家暴的風險也將大增,甚至被迫從事性行為,使得尚未發育完全的身體備受負擔;許多未成年少女因為懷孕或分娩併發症死亡,嬰兒胎死腹中或夭折的機率也更高。

來自緬甸的 17 歲少女荷拉(Hla)就曾是性別暴力與未成年婚姻的受害者。在她12歲時,一場重病帶走了她的母親,而酒精成癮的父親根本顧不了這些孩子,因此荷拉被迫離家、在街上討生活。為了尋求避風港,荷拉甚至嫁給了大她 15 歲的男子,並在 14 歲成為一名母親,但生下孩子沒多久後,丈夫便另尋新歡,留下荷拉和孩子相依為命。無助的荷拉為了不讓孩子跟著吃苦,只能忍著思念的痛苦,把孩子送到安置機構。

Photo Credit:世界展望會/荷拉小時候常跟著爸媽到各個城市的慶典或嘉年華活動兜售玩具,並以此維生。然而非常微薄的收入,根本無法支撐荷拉與 13 個兄弟姊妹的生活。

幸好在荷拉最低潮的時刻,遇上了世界展望會。在世界展望會的協助下,除了支持荷拉重建身心健康,也提供她職業訓練的機會,培養一技之長。僅管有些髮廊仍因荷拉的經歷而不願接受她,但在世界展望會的引薦下,現在的荷拉已找到一份穩定的髮廊實習工作,每月都能賺取 20 美元的薪水,並和同事們住在一起、彼此照顧。從街頭遊童到髮型設計師,荷拉因為世界展望會出現在她的生命中,而有了希望。

Photo Credit:世界展望會/荷拉說:「我住在街頭時,常常受到男性的輕蔑和不尊重。即使我根本沒有做錯事,也常常得躲避警察取締,生活充滿恐懼和不安。很感謝世界展望會的幫助和支持,我才能把自己的人生拉回正軌,創造更好的未來。」

女童困境恐怕比你想像的嚴重——關於失學、文盲、童工

荷拉的故事絕不是少數案例。事實上,許多女童不只遭受可怕的性別暴力,也因為貧窮或環境動盪,而被迫放棄受教育的權利,成為失學的童工,甚至不得不從事對身心發展有害的勞動工作。根據聯合國資料,全球童工人數在疫情的影響下,20 年來首次增加至 1.6 億;而全球約 7 億人口的文盲當中,女性就佔了 2/3。困在社會底層的弱勢女童,身心備受煎熬,急需你我關注。

印度女孩珊蜜拉,便是弱勢女童的縮影之一,遭遇令人心疼。珊蜜拉(化名)原本是個熱愛上學的女孩,14 歲時由於家中經濟無法負擔她繼續升學,因此被送到孟買與姊妹們一起工作,幫助家中生計。當時,珊蜜拉請妹夫幫她找工作,沒想到卻是噩夢的開始,妹夫將她送到人口販子手上,珊蜜拉被推入妓院工作,並經歷長達三個月地獄般的生活。

「只有我工作了才會有飯吃。如果我不工作,妓院老闆、甚至是客人就會拿皮帶打我。我被迫喝酒、他們會拿菸燙我的手。我一直在哭,求他們放我回家。」後來珊蜜拉得知自己陷入險境是受親人所害,整顆心都碎了。

Photo Credit:世界展望會/珊蜜拉好不容易說出那段記憶:「我經歷的那些,希望沒有其他任何女性需要經歷。我承受了非常多的痛苦,那是一段很難熬的時期。白天會有 12 到 14 個男人,晚上則會有 15 到 16 個。一整天工作完後,所有的女孩會被送到荒郊野外中的一棟建築物裡休息,整間房間裡只有一扇窗戶。因為太偏遠,即便我們大吼著求救,也沒有任何人會聽到。」

終於有一天,珊蜜拉和其他女孩們的工作場所遇到警察臨檢,珊蜜拉便趕緊抓住機會向警方求救。成功獲救的同時,同樣在場的妹夫和妓院老闆也遭到警方逮捕。接著,珊蜜拉花了數個月的時間輾轉換了好幾間避難所,最後終於回到家人身邊。

在家人的陪伴以及世界展望會的支持下,珊蜜拉終於踏上復原之路。由於人口販運的受害者往往受到許多暴力與虐待而留下嚴重陰影,這段遭遇遂成為她們心中無法說出口的痛,且大多數受害者因地處偏遠、經濟貧困,或是覺得丟臉、自責等心理因素,難以取得身心重建的專業支持。因此,世界展望會提供包括創傷後症候群、焦慮、憂鬱、恐慌、斯德哥爾摩症候群、藥物濫用等醫療與心理照護,讓更多像珊蜜拉一樣遭遇創傷的女童,得以重建生命。

Photo Credit:世界展望會/珊蜜拉現在加入了印度世界展望會的受害者支持團體,踏上了復原之路。

你有力量打破女童困境:資助 1,000名 女童,扭轉 1,000+ 個家庭命運

在 Covid-19 的疫情衝擊下,脆弱國家的資源更加緊縮,這也讓兒童面臨前所未有的考驗。世界展望會的分析報告指出,2020 年 3 月全球疫情爆發後,與 2019 年相比,童婚案例在許多社區暴增了一倍以上;而童婚的增幅速度,更攀升到25年來最高,若無法改善,預估 2030 年前全球將再增加 1000 萬名兒童新娘。

對於女童而言,貧窮、家暴、性別暴力、失學等問題是無法分割的,這些威脅往往彼此連動、加乘,為女童的生命帶來嚴重打擊。但從上述的實際案例可以發現,受困女童的命運並非不能扭轉,只要世界上某個角落的某一個人願意付出行動,女童的生命就有希望曙光。

世界展望會推動「資助 1000 個女童 挺聲而進 願景無懼」行動,期待在 10 月 11 日女童日前,能為 1000 個女童找到資助人,每個月 700 元,就能翻轉一個女童的生命,為她提供安穩的生存環境與受教權,並將這份改變延伸至女童的家庭與周遭社區,帶來正向影響力。讓我們一起阻止女童悲劇再次發生,現在,就加入改變世界的行列!