今年8月，大規模駭客攻擊以及隨後對有線作家馬特·霍南（Mat Honan）的數字生活的拆解，讓駭客社群的足智多謀以及許多綜合數字服務的鬆懈安全政策亮起了亮光。蘋果和亞馬遜都很快彌補了導致Honan被駭客攻擊的漏洞，但Twitter賬戶（Honan的駭客們追求的終極獎項）仍然出人意料地容易受到不成熟的駭客攻擊。這個漏洞在上週末被展示為一組令人嚮往的“OG”Twitter控制代碼——這些短而難忘的單字名字在服務啟動時被搶購一空——被一群想要賺點錢和給朋友留下深刻印象的孩子暴力入侵。

上週六早上，Daniel Jones（Twitter上稱為@blanket）收到一封電子郵件，說他的帳戶的電子郵件地址已經更改，如果你還沒有對你的帳戶做任何更改，這是一條令人不安的訊息。果然，他的密碼不起作用，他的微博和跟帖賬號都是零。瓊斯很快意識到駭客控制了他的賬戶，並將他的賬號從@blanket改成了更**的東西，然後很快抓住了現在可用的@blanket賬戶，並控制了一個電子郵件地址。

緊緊抓住那些“OG”推特手柄

瓊斯在推特上的時間比大多數人都長——他的第一條推特釋出於2007年3月22日。”我與@blanket簽約是因為我有一家**公司，現在還有一個名為blanket Statement Producti***的**披風，“瓊斯告訴我，”所以我選擇@blanket，因為它又短又甜。“作為早期採用者的好處之一是獲得一個令人滿意的、獨特的、單一世界的手柄，但缺點是，像他這樣的手柄是一個引人註目的目標。

經過一天的研究，瓊斯“找到了一小群破解密碼以獲取控制代碼的孩子的底細”——他發現了其他一些短而難忘的控制代碼，比如@hah、@captain和@craves也被駭客入侵。從他在Twitter上看到的對話來看，這些駭客不是老練的社會工程師，只是一群試圖**他們收集的名字的青少年。最終，瓊斯與一名14歲的駭客在Skype上進行了一次長時間的交談，這名駭客是梅森的手下——他並不是從瓊斯那裡偷走@blanket的人，但他是搶奪和**這些令人嚮往的名字的年輕人中的一員。

這種駭客行為幾乎不是複雜的社會工程的結果

瓊斯告訴我，梅森和他的朋友並不是高階駭客——事實上，梅森告訴瓊斯，他入侵推特賬戶才幾個星期。至於他們是如何破解這些賬戶的，瓊斯說，駭客“根據他們想要的使用者名稱執行一個字典列表，然後強行從中取出一個密碼。”他接著說，他使用的是“一個單詞和一個數字，所以他們的列表比僅僅執行一個字典要複雜一些。”

雖然梅森對自己究竟是如何打入賬戶的問題並不十分清楚，瓊斯確實設法瞭解到，一個使用不同IP地址的代理列表的定製程式使Twitter無法自動鎖定暴力破解密碼所需的多次嘗試。他還指出，Twitter的安全性比YouTube要寬鬆得多，而Mason發現，YouTube很難被破解。整個被駭客入侵的第一手經驗讓瓊斯相當不安，因為Twitter沒有足夠的安全措施來防止像@blanket這樣的被駭客入侵的賬戶被迅速竊取。

與Facebook（以及其他任何數量的線上服務）不同，Twitter使用者不能向其帳戶新增第二個電子郵件地址，以提高安全性。在切換Twitter帳戶的電子郵件地址時，他們也不能使用**號碼進行密碼檢索或身份驗證。一旦駭客進入你的帳戶，刪除你的電子郵件地址並將其更改為不受你控制的新地址是很簡單的——唯一的驗證步驟就是向新地址傳送電子郵件。這意味著，如果有人洩露了你的帳戶，並更改了你的密碼和電子郵件地址，那麼當你收到Twitter的通知時，做任何事情都為時已晚。

Twitter是時候加強安全措施了

當然，Twitter並不是不關心安全問題——該公司已經預設使用HTTPS一年半了，使用者可以在自己的賬戶中新增一個**號碼進行密碼驗證。不幸的是，該電話號碼只能用於更改密碼，而不能用於驗證電子郵件地址的更改。一旦駭客有了密碼（就像他們在瓊斯的@blanket賬戶中所做的那樣），他們就可以更改電子郵件地址，刪除你的相關電話號碼，然後更改密碼而不需要任何外部身份驗證。儘管Twitter一直在尋求加強其安全系統，但有訊息稱，目前還沒有任何計劃新增備份電子郵件地址或更高階的兩步身份驗證。

儘管駭客攻擊成功，但瓊斯與梅森的對話強化了他的信念，即他並不是在對付一支使用先進社會工程戰術的駭客小隊，比如馬特·霍南的攻擊者。梅森是一名高中生，想透過**推特手柄來賺錢。瓊斯說梅森“知道自己做錯了什麼，他不想讓家人知道，梅森承認，他“不知道該如何回應”有人質問他偷竊姓名的行為，他還說，他透過**推特手柄賺了大約300美元。顯然，這不是一個備受關註的黑市推特名字圈子，但300美元對一個高中生來說是一大筆現金。

“更改帳戶上的電子郵件太容易了。。。也許這應該更難。”

對瓊斯來說幸運的是，他的@blanket控制代碼最終被恢復了，儘管這花了兩天多的時間，而且在Twitter的安全保護下來回了很多次。他首先透過Twitter直接聯絡到@support賬戶，並ping了一些為該公司工作的朋友的朋友，但發現透過Twitter的支援頁面提交索賠是解決問題的首選方式。他在駭客攻擊後一天半的時間裡收到的第一個回覆令人沮喪地毫無幫助，更不用說相當遲鈍了。這名聯絡到Twitter的員工說，他們什麼也做不了，因為電子郵件地址與相關賬戶不匹配——這一事實應該是顯而易見的，因為這是駭客攻擊的全部癥結所在。

大約8個小時後，秩序恢復了，雖然瓊斯希望自己能早點控制自己的賬戶，但他說，“更大的問題是，一開始的安全措施非常鬆懈，賬戶很容易被破解。”瓊斯說，考慮到如何改進情況，“更改帳戶上的電子郵件太容易了。。。也許這應該更難。”雖然瓊斯承認，從純人力的角度來看，Twitter與谷歌或Facebook並不在同一個聯盟中，但他也表示，“對於像Twitter這樣目標明確的社交網路，你可能認為他們現在已經制定了一些措施，或者他們已經遇到了足夠多的問題，他們會更認真地對待這個問題。”

雖然丹尼爾·瓊斯不是一個知名度很高的使用者，但不幸的是，很多像他這樣的人不得不面對沒有特別好理由的賬戶被駭客入侵。大多數精通網際網路的現代人都知道，他們需要比以往任何時候都更加警惕維護良好的安全衛生，他們應該利用他們可用的每個帳戶保護功能。不幸的是，這並不總是足以保證線上帳戶的安全。Twitter經常聽到這樣的訊息——希望不久之後會有更複雜的驗證選項。一點額外的安全措施可以大大減少駭客帶來的麻煩。