員工被騙內部權限!Twitter 名人盜帳號事件為「社交工程」攻擊

俗話說得好,資安最大的漏洞就是「人」。社交工程攻擊用的不是高深的電腦技術,而是用詐騙的方式要到關鍵人物的驗證資訊,進而取得登入權限。
評論
△ Photo Credit: Shutterstock/ TPG Images
△ Photo Credit: Shutterstock/ TPG Images
評論

推特(Twitter)上週爆發了嚴重的集體盜帳號事件,許多名人及公司官方帳號都被盜用並貼出詐騙比特幣的訊息,受害者包括歐巴馬、比爾・蓋茲、傑夫・貝佐斯、伊隆・馬斯克等名人,還有 Apple 及 Uber 等世界知名品牌的官方推特帳號。

針對此一大規模、高層級的盜帳號事件,推特在週末時發布官方公告,概述截至台灣時間上週六中午(美國時間上週五晚上 8:35)的調查進度。

「由於對此一事件的調查正在進行中,因此我們目前未提供部分細節——尤其是在補救方面,以保護工作的安全性。我們將在將來提供更多可以公佈的詳細訊息,以便相關社群和我們的同業,能從已發生的事情中學習並受益。」

As the investigation of this incident is unfolding, there are some details — particularly around remediation — that we are not providing right now to protect the security of the effort. We will provide more details, where possible in the future, so that the community and our peers may learn and benefit from what happened.  

截至目前,Twitter 認為駭客係透過社交工程的手段(a social engineering scheme),故意針對某些推特的員工經營,取得信任後獲得入侵推特內部系統的高級權限。

「社交工程」(social engineering)是在電腦工程界使用的術語,其實含義跟電腦工程技術無關,指的是使用類似現今流行的網路詐騙的手段,蓄意操縱對方執行特定行為,最後獲得隱私或機密資訊、入侵電腦系統等。 

駭客成功操縱了幾名推特員工後,使用他們的帳號進入 Twitter 內部系統,因此可以破解大多官方帳號都會啟用的兩階段保護(two-factor protections)。

目前已知的是,駭客使用了開發團隊才能使用的內部工具,針對 130 個 Twitter 帳號進行攻擊,而其中 45 個帳號成功被重設密碼,其中又有 8 個帳號甚至用後台功能「您的 Twitter 數據」(Your Twitter Data)成功下載了帳號活動歷史紀錄!針對這 8 個帳號,推特公司會直接與所有者聯絡後續事宜,不過這 8 個帳號沒有一個是經過認證的帳號(即俗稱「藍勾勾」的帳號)。

Twitter 在事發後一發現狀況不對,迅速先鎖定遭駭的帳號們,並撤銷駭客對內部系統的連線,以防止在緊急處理取回被駭帳戶的過程中,攻擊者進一步利用系統再攻擊其他帳號。(編輯推測,時間點應該是在推特官方帳號的這則貼文前後。)

除了這些在幕後的努力之外,也暫時先停止了在推特上貼文及更改密碼的功能,防止攻擊者繼續傳播他們的騙局。

推特再次重申,暫不透露更多執行細節,以保護其有效性,將來在可能的情況下會提供更多技術細節。

那麼,駭客究竟可從成功駭入的 130 個帳號中獲得哪些資料?Twitter 表示,駭客無法透過此次攻擊手法取得過去用過的密碼,因為這些密碼未以純文本形式儲存在伺服器,也無法在這次攻擊中使用的工具中取得;但駭客能夠察看使用者後台的個人資料,也就是說,可取得 email 地址與電話號碼。

其中被改了密碼的 45 個帳號,因為攻擊者已經成功接管了這些帳號,他們可能已經能夠查看其他個人資料。這部分的調查目前仍在進行中。

Twitter 將與檢調單位合作、加強資安系統,並強化員工的反社交工程訓練。

Twitter 團隊正在積極與受到影響的帳號擁有者直接聯絡,也公布了接下來的調查方向。透過這些,推特也開始了長期的行動,將與使用並依賴 Twitter 的人們重新建立信任。 

「我們高度認知到我們對依賴推特的使用者以及對整個社會的責任。我們很尷尬、很失望,最重要的是,我們很抱歉。我們知道,我們必須努力重新獲得您的信任,我們將付出一切能將攻擊者繩之以法的努力。」

We’re acutely aware of our responsibilities to the people who use our service and to society more generally. We’re embarrassed, we’re disappointed, and more than anything, we’re sorry. We know that we must work to regain your trust, and we will support all efforts to bring the perpetrators to justice.

核稿編輯:Mia

延伸閱讀: