一名入侵Twitter網(wǎng)站上Google Apps軟件并竊取超過(guò)300份私人公司文件的法國(guó)黑客日前透露了他作案的細(xì)節(jié)。根據(jù)TechCrunch的說(shuō)法，這名黑客使用的是一種叫做"cracking"的方法，黑客以Hacker Croll的名字通過(guò)拖捕提供公開(kāi)信息的網(wǎng)絡(luò)來(lái)攻破Twitter的安全防御系統(tǒng)。最終Croll發(fā)現(xiàn)了我們很多人都會(huì)犯下的一個(gè)錯(cuò)誤--即在所有的網(wǎng)站都使用同樣的密碼，這樣Twitter網(wǎng)站就存在被攻擊的安全風(fēng)險(xiǎn)。了解Hacker Croll是如何入侵安全系統(tǒng)的，想一想他的方法是否會(huì)讓你的數(shù)字生活不堪一擊。

Croll入侵Twitter

Hacker Croll首先是建立一個(gè)目標(biāo)公司的簡(jiǎn)歷，Twitter就是這樣淪為他的攻擊目標(biāo)。基本上說(shuō)，他編制了一個(gè)員工，公司崗位和他們相關(guān)電子郵件地址的列表。在基本信息匯總完畢后，Croll為他的每一位員工用他們的生日，寵物姓名等信息建立了一個(gè)小型檔案。這些檔案建立完畢后，他只是去挨個(gè)去敲門(mén)直到有人相信他。

當(dāng)他為T(mén)witter員工的私人Gmail郵箱實(shí)施密碼恢復(fù)流程后，問(wèn)題就這樣發(fā)生了。Croll發(fā)現(xiàn)與這名員工Gmail關(guān)聯(lián)在一起的次級(jí)帳戶是一個(gè)Hotmail郵箱。問(wèn)題是Hotmial郵箱由于始終處于靜止?fàn)顟B(tài)已經(jīng)被刪除和重復(fù)再用--這也是Hotail長(zhǎng)期實(shí)行的政策。如今，Hacker Croll所有要做的事情就是為他自己重新注冊(cè)Hotmail郵箱，返回然后恢復(fù)Gmail密碼，然后Gmail會(huì)將密碼重設(shè)信息直接發(fā)送到犯罪分子重新激活的郵箱當(dāng)中。但是事情到此并沒(méi)有結(jié)束。

Gmail會(huì)要求Hacker Croll重新設(shè)置Twitter網(wǎng)站上員工私人電子郵箱的密碼，然后Hacker Croll就這樣做了。但是如今原來(lái)的用戶被他們自己的郵箱賬號(hào)拒之門(mén)外，郵箱被標(biāo)注上明顯的紅色小旗作為警告。因此Croll所做的就是搜索Gmail本身的郵箱賬號(hào)，查找此人其他活動(dòng)服務(wù)的密碼。然后他鍵入他所發(fā)現(xiàn)的常用密碼，看看郵箱主人是否在正常使用他們的郵箱。目前Croll從屏幕背后訪問(wèn)Gmail郵箱，還能訪問(wèn)未經(jīng)發(fā)現(xiàn)的信息。為了讓使用起來(lái)更加方便，Twitter的員工通常在他們的業(yè)務(wù)郵箱和私人郵箱中使用同樣的登錄密碼，因此黑客就可以輕而易舉的入侵這兩個(gè)郵箱。

你會(huì)受到同樣的攻擊嗎？

令人擔(dān)憂的是Croll使用的方法可能在每個(gè)人身上都會(huì)發(fā)生。筆者上周檢查了自己的谷歌郵箱，發(fā)現(xiàn)自己也暴露在Twitter員工同樣的安全風(fēng)險(xiǎn)之下。

筆者很久以前就注冊(cè)了Gmail賬號(hào)，已經(jīng)忘記了所有二級(jí)電子郵件地址的信息。就像Twitter的員工一樣，和Gmail關(guān)聯(lián)的二級(jí)電子郵件處于休眠狀態(tài)，可能會(huì)被任何人重新注冊(cè)。一切都改變了。筆者在自己的電子郵件中搜索用過(guò)的密碼，困惑的是反饋回來(lái)很多結(jié)果。使用你最常用的密碼在你的電子郵箱中進(jìn)行搜索，看看結(jié)果會(huì)是什么。你可能會(huì)感到十分意外。但是黑客可能會(huì)有各種方法來(lái)獲取你的信息。

你曾經(jīng)在Twitter這樣的公共服務(wù)網(wǎng)站上收到過(guò)生日賀卡嗎？你曾經(jīng)向別人透露過(guò)電話號(hào)碼或者任何其他信息嗎？你的社交網(wǎng)站上有哪些信息？你的MySpace和Facebook帳戶關(guān)閉了嗎？或者任何人都可以在這些社交網(wǎng)站上通過(guò)搜索找到你嗎？你的Facebook網(wǎng)頁(yè)上有你的生日，你曾經(jīng)上學(xué)的學(xué)校和寵物的名字嗎？你母親的娘家姓名（這是一個(gè)常見(jiàn)的安全提問(wèn)）會(huì)通過(guò)你的社交網(wǎng)站帳戶被發(fā)現(xiàn)嗎？你使用的其他服務(wù)都是什么？如果你認(rèn)為比人發(fā)現(xiàn)這些信息的可能性不大，那么在你所謂的"Deep Web"搜索引擎（比如說(shuō)Pipl或Spokeo）上搜索你自己的信息，看看會(huì)發(fā)生什么。你可能會(huì)發(fā)現(xiàn)你自己都完全忘記的網(wǎng)上賬戶。

類(lèi)似的電子郵件安全

其他的問(wèn)題是多數(shù)電子郵件服務(wù)使用的都是類(lèi)似的密碼恢復(fù)方法。Hotmail和Gmial幾乎完全一樣。雅虎的郵箱甚至更加簡(jiǎn)單，因?yàn)槿绻愀嬖V雅虎你無(wú)法訪問(wèn)你的二級(jí)電子郵件賬號(hào)，你只需回答一個(gè)秘密問(wèn)題即可。

在筆者對(duì)雅虎電子郵箱恢復(fù)網(wǎng)頁(yè)的測(cè)試中，筆者發(fā)現(xiàn)似乎你可以有無(wú)限次嘗試的機(jī)會(huì)去猜測(cè)雅虎電子郵件提問(wèn)的秘密問(wèn)題的答案。AOL Mail也好不到哪去，因?yàn)槟憧梢赃x擇鍵入你的二級(jí)電子郵件或者鍵入你確切的生日外加文件的Zip代碼即可。ZIp代碼對(duì)于一些人可能很難攻破，但是并非完全沒(méi)有可能。如果你發(fā)現(xiàn)你暴露在Twitter這樣的漏洞風(fēng)險(xiǎn)之下，將把它當(dāng)做是你的叫醒電話吧。你必須定期檢查你的各種電子郵箱的安全設(shè)置，以便這些安全信息還在你的控制之列，因?yàn)檫@些信息可能是你在很久以前輸入的，很容易被遺忘。

要注意與你初始電子郵件地址關(guān)聯(lián)的二級(jí)電子郵件帳戶；對(duì)于安全提問(wèn)設(shè)置一個(gè)只有你知道的答案；定期更換你的密碼，無(wú)論是自行更改還是通過(guò)GRC或者Strong Password Generator這樣的工具來(lái)隨機(jī)產(chǎn)生密碼。不要只使用一到兩個(gè)密碼，使用Clipperz, KeePass或者Yubic這樣的密碼管理器來(lái)記住你替換的密碼信息。但是或許最重要的是，在你自己的電子郵箱中搜索你使用的最常見(jiàn)的密碼，然后刪除這些信息。如果最糟糕的事情發(fā)生了，你的電子郵件帳戶正處在危險(xiǎn)之中，你很對(duì)曾經(jīng)做過(guò)的一切感到高興。

【編輯推薦】

1. 近期安全回顧：Twitter遭遇瘋狂XSS Mac被病毒感染變僵尸