員工被騙內部權限!Twitter 名人盜帳號事件為「社交工程」攻擊

俗話說得好,資安最大的漏洞就是「人」。社交工程攻擊用的不是高深的電腦技術,而是用詐騙的方式要到關鍵人物的驗證資訊,進而取得登入權限。
評論
△ Photo Credit: Shutterstock/ TPG Images
評論

推特(Twitter)上週爆發了嚴重的集體盜帳號事件,許多名人及公司官方帳號都被盜用並貼出詐騙比特幣的訊息,受害者包括歐巴馬、比爾・蓋茲、傑夫・貝佐斯、伊隆・馬斯克等名人,還有 Apple 及 Uber 等世界知名品牌的官方推特帳號。

針對此一大規模、高層級的盜帳號事件,推特在週末時發布官方公告,概述截至台灣時間上週六中午(美國時間上週五晚上 8:35)的調查進度。

「由於對此一事件的調查正在進行中,因此我們目前未提供部分細節——尤其是在補救方面,以保護工作的安全性。我們將在將來提供更多可以公佈的詳細訊息,以便相關社群和我們的同業,能從已發生的事情中學習並受益。」

As the investigation of this incident is unfolding, there are some details — particularly around remediation — that we are not providing right now to protect the security of the effort. We will provide more details, where possible in the future, so that the community and our peers may learn and benefit from what happened.  

截至目前,Twitter 認為駭客係透過社交工程的手段(a social engineering scheme),故意針對某些推特的員工經營,取得信任後獲得入侵推特內部系統的高級權限。

「社交工程」(social engineering)是在電腦工程界使用的術語,其實含義跟電腦工程技術無關,指的是使用類似現今流行的網路詐騙的手段,蓄意操縱對方執行特定行為,最後獲得隱私或機密資訊、入侵電腦系統等。 

駭客成功操縱了幾名推特員工後,使用他們的帳號進入 Twitter 內部系統,因此可以破解大多官方帳號都會啟用的兩階段保護(two-factor protections)。

目前已知的是,駭客使用了開發團隊才能使用的內部工具,針對 130 個 Twitter 帳號進行攻擊,而其中 45 個帳號成功被重設密碼,其中又有 8 個帳號甚至用後台功能「您的 Twitter 數據」(Your Twitter Data)成功下載了帳號活動歷史紀錄!針對這 8 個帳號,推特公司會直接與所有者聯絡後續事宜,不過這 8 個帳號沒有一個是經過認證的帳號(即俗稱「藍勾勾」的帳號)。

Twitter 在事發後一發現狀況不對,迅速先鎖定遭駭的帳號們,並撤銷駭客對內部系統的連線,以防止在緊急處理取回被駭帳戶的過程中,攻擊者進一步利用系統再攻擊其他帳號。(編輯推測,時間點應該是在推特官方帳號的這則貼文前後。)

除了這些在幕後的努力之外,也暫時先停止了在推特上貼文及更改密碼的功能,防止攻擊者繼續傳播他們的騙局。

推特再次重申,暫不透露更多執行細節,以保護其有效性,將來在可能的情況下會提供更多技術細節。

那麼,駭客究竟可從成功駭入的 130 個帳號中獲得哪些資料?Twitter 表示,駭客無法透過此次攻擊手法取得過去用過的密碼,因為這些密碼未以純文本形式儲存在伺服器,也無法在這次攻擊中使用的工具中取得;但駭客能夠察看使用者後台的個人資料,也就是說,可取得 email 地址與電話號碼。

其中被改了密碼的 45 個帳號,因為攻擊者已經成功接管了這些帳號,他們可能已經能夠查看其他個人資料。這部分的調查目前仍在進行中。

Twitter 將與檢調單位合作、加強資安系統,並強化員工的反社交工程訓練。

Twitter 團隊正在積極與受到影響的帳號擁有者直接聯絡,也公布了接下來的調查方向。透過這些,推特也開始了長期的行動,將與使用並依賴 Twitter 的人們重新建立信任。 

「我們高度認知到我們對依賴推特的使用者以及對整個社會的責任。我們很尷尬、很失望,最重要的是,我們很抱歉。我們知道,我們必須努力重新獲得您的信任,我們將付出一切能將攻擊者繩之以法的努力。」

We’re acutely aware of our responsibilities to the people who use our service and to society more generally. We’re embarrassed, we’re disappointed, and more than anything, we’re sorry. We know that we must work to regain your trust, and we will support all efforts to bring the perpetrators to justice.

核稿編輯:Mia

延伸閱讀:



【影音】老不一定要孤獨—「一粒麥子基金會多功能日照中心」,重新找回偏鄉長者對生活的熱忱與重心

「我還是會老,但不會孤獨老。」不讓老和孤獨劃上等號,是許多人的盼望,也是一粒麥子基金會「多功能日照中心」的任務。
評論
Photo Credit:一粒麥子基金會
評論

你認為「老」是什麼樣子?是一個明確的年齡界線?還是進入某一種身心狀態?即將邁入知命之年的創業家暨網路紅人「我是崴爺」,以及才剛過而立之年的知名電視主持人蔡尚樺,各自從自己的性別與年齡探討對於「老」的想像。

走到「老」的生命階段是幸運的,這意味著老天願意多給我們一些時日,品嚐晚年的生活滋味;同時「老」也有屬於它這個階段的考驗與精彩,不只是個人的生命功課,也是周遭社區的共同學習。崴爺說起他對「老」的想像與擔憂:「對於晚年,有些人會覺得坐在輪椅上看夕陽是很祥和的畫面,對我來說卻像是恐怖片,好像除了看風景,就沒有辦法做其他事了。」蔡尚樺也說:「老讓我覺得可怕的地方在於,我的思想和靈魂還很衝,但是身體和代謝卻都變得緩慢,彷彿被禁錮在一個軀殼裡。」  

Photo Credit:TNL Brand   Studio/知名電視主持人蔡尚樺(左)、創業家暨網路紅人「我是崴爺」(右)討論對於年老的想像

不讓老和孤獨、無能為力劃上等號,不只是崴爺和尚樺的共同目標,也是一粒麥子基金會「多功能日照中心」的任務。誠如影片中一粒麥子基金會執行長林木泉所說,每一個長者都有屬於他自己的生命經驗,邁入老年並非就要拋棄自己過往的能力或興趣、成為一棵呆坐的枯木,而是猶能發揮生命力,活出每個精彩的當下。

Photo Credit:TNL Brand   Studio/一粒麥子基金會「多功能日照中心」配合長輩興趣和專長發展活動,像是木工或編織

對此,林木泉執行長向崴爺與尚樺展示了花蓮縣「光福多功能日照中心」的實地樣貌,不僅是提供生活照顧,更重要的是支持長者找回對生命的好奇與盼望;像是多功能日照中心透過木工班、編織、植栽、桌遊等活動,讓長輩重拾過往的生命經驗、為生活增添許多樂趣和色彩。此外,還須有護理、社工、營養師、物理治療師等專業人員以及在地社區青年的共同參與,才能撐起長者的晚年生活,讓「老」不孤獨,而且可以更加自主、有尊嚴地生活。

捐款支持,讓「一粒麥子多功能日照中心」在更多偏鄉社區發芽

Photo Credit:TNL Brand   Studio/一粒麥子基金會持續募集各界善款,支持偏鄉長者擁有幸福晚年