近期，紐約金融服務管理局發布了7月15日推特安全事件的調查報告，全面還原黑客攻擊的細節與全過程。毫無復雜技術的攻擊手段爆出推特平臺存在的驚人安全缺陷。

[[349102]]

1. 事件概要

2020年7月15日，一名17歲的黑客及其同伙入侵了推特(Twitter)網絡，控制了幾十個大V用戶推特賬戶的控制權。全世界圍觀了這次公開的網絡攻擊：幾個小時內，黑客接管了多個政客、名人和企業家的推特賬戶，包括貝拉克·奧巴馬、金·卡戴珊·韋斯特、杰夫·貝佐斯和埃隆·馬斯克，以及紐約州金融服務管理局監管的數家加密貨幣公司，在推特上發出 "讓你的比特幣翻倍 "的騙局。面對黑客入侵，推特似乎無能為力。

從貨幣價值上看，黑客竊取了價值超過11.8萬美元的比特幣。但更重要的是，安全事件暴露了全球社交媒體平臺的脆弱性——推特平臺的月活用戶總數超過3.3億，日活用戶超過1.86億，其中，美國用戶超過3600萬(20%)。簡而言之，推特在我們的溝通交流和新聞傳播方面扮演著核心角色。超過一半的美國成年人 "經常 "或 "有時 "從社交媒體獲取新聞。

推特作為一家市值370億美元的上市科技公司，其網絡卻能被黑客輕松地侵入并獲得內部工具的訪問權限，從而可以接管任何推特用戶的帳戶。

值得注意的是，攻擊推特的黑客并沒有采用網絡攻擊中經常利用的高科技或復雜技術——沒有惡意軟件，沒有漏洞利用，也沒有放置后門。黑客使用的基本技巧更類似于傳統的詐騙藝術：打電話假裝是推特信息技術部門的人。黑客通過這種簡單的伎倆獲得了非同尋常的訪問權限，這凸顯了推特網絡安全方面的漏洞和潛在的破壞性后果。

推特入侵事件的影響遠遠超出了欺詐行為本身：社交媒體被用來操縱市場和干預選舉，只需使用一個被入侵的賬戶或一組假賬戶就可以了。若危險的"黑客 "獲得同樣的訪問權(有權控制任何推特用戶的賬戶)可能會造成更大的危害。

推特安全事件表明，我們需要部署強有力的網絡安全措施，遏制主要社交媒體平臺成為潛在的攻擊利器，但面對社交媒體帶來的新挑戰，監管機構顯然還沒有做好準備。

政策制定者關注大型社交媒體公司的反壟斷和內容審核問題，對于具有系統重要性的大型社交媒體公司來說，網絡安全也應當是必備的能力。

2. 推特平臺

從2006年7月起，推特開始運營www.twitter.com。作為社交網絡和微博網站，用戶可以通過電子郵件和文字向"粉絲"(即注冊接收博文的用戶)發送 "推文”——不超過280個字(之前是140個字)的簡短博文。推特用戶通過網站或移動應用可以關注其他個人，商業、媒體、政府或非營利性實體。

推特負責維護內部賬戶管理工具，以管理與推特用戶賬戶有關的各種問題。推特向獲得授權的員工發放用戶名和密碼，用于訪問內部賬戶管理工具。7月15日發布在推特上的截圖顯示了黑客訪問的內部工具 。

一些內部工具含有所有推特用戶賬戶的非公開信息，包括賬戶相關的電子郵件、電話號碼以及用戶登錄位置的互聯網協議("IP")地址。根據用戶的請求，授權推特員工會使用內部工具更新電子郵件地址，重置遺忘或過期密碼，啟用或禁用多因素身份認證("MFA")——這是一種額外的安全保護，需要依賴自動生成的號碼訪問賬戶。

推特員工還使用內部工具，禁止或限制特定推文內容或特定用戶賬號發布推文。這種限制可以是為了滿足某些國家當地法律的要求，或者是為了懲戒那些違反推特規則的用戶行為。

3. 還原入侵事件真相

攻擊者利用欺詐手段進入推特的網絡和內部應用。

2020年7月14日和15日，黑客攻擊了推特。安全事件分為三個階段：第一階段，通過社會工程學攻擊獲得推特網絡的訪問權;第二階段，接管具備理想用戶名的賬戶，并出售這些賬戶的權限;第三階段，接管幾十個高知名度的推特賬戶，并試圖誘騙人們給黑客發送比特幣。

所有這一切都在大約24小時內發生。

第一階段：通過社會工程學竊取證書

推特入侵事件始于2020年7月14日下午。當時，至少一名黑客致電了多個推特員工，自稱是推特 IT部門的服務人員。黑客聲稱致電來幫助解決推特的虛擬專用網絡遇到的問題。

自從切換為遠程工作后，虛擬專用網絡問題在推特員工中就很常見。隨后，黑客嘗試把該員工引導到釣魚網站，該網站看起來與合法的推特虛擬專用網絡網站一模一樣，域名也極其相似。員工在釣魚網站輸入他們的賬號密碼時，黑客會同時把這些信息輸入到真正的推特網站。這種假冒登錄產生了MFA(多因子驗證)通知，要求員工進行身份驗證，部分員工也進行了驗證。

在調查中，紐約州金融服務管理局沒有發現任何推特員工蓄意協助黑客的證據。相反，黑客利用員工的個人信息令其相信自己是正當且可信的。一些員工向推特內部的欺詐監控團隊報告了這些電話，但至少有一名員工相信了黑客的謊言。

第一個被黑客入侵賬戶的推特員工無權使用內部工具來接管推特用戶賬戶。黑客只好利用這個最初的受害者賬戶來瀏覽推特的內部網站，從而掌握更多推特信息系統的情報。黑客查看了推特的內部網站，其中包含了如何訪問其他內部應用程序的信息。

7月15日，黑客將目標鎖定在能夠訪問內部工具的推特員工身上。他們中的一些人屬于負責全球法律請求的響應部門，例如法院命令或內容刪除請求，以及負責制定和執行關于防止濫用網絡行為的政策。

第二階段：盜取推特元老賬號

在獲得接管推特用戶賬號的能力后，黑客首先關注的是所謂的推特元老("original gangster“ OG)賬號，這些賬號名通常由單個單詞、字母或數字組成，屬于推特的早期用戶。作為讓后續用戶垂涎的網絡信譽標志，任何人只要成功劫持一個元老賬號，就能以數千美元的價格將它出售。

在2020年7月15日凌晨3點至10點左右，黑客通過在線聊天討論了接管和出售推特元老用戶名以換取比特幣的問題，推特證實了多個賬戶被攻破。

然而很快，黑客就開始以更多的公開手段來證明已經成功滲透了推特的內部系統。7月15日下午2點前，黑客劫持了更多推特元老賬號，并在推特上將部分賬號的內部工具截圖發給了對應賬號的粉絲。

第三階段：高調的比特幣騙局

經過最初的滲透，黑客擴大了入侵推特的行動。

值得注意的是，在這一階段，黑客將攻擊目標鎖定在“大V”賬戶上，也就是推特定義的 "公共利益賬戶"，通常 "由音樂、演藝、時尚、政府、政治、宗教、新聞、媒體、體育、商業和其他關鍵利益領域的用戶維護"。

大V賬戶通過藍色的驗證徽章來區分，"讓人們知道公共利益賬戶是真實的。"作為網絡社交媒體平臺的精明用戶，黑客可能知道，大V賬戶的推文會讓他們的比特幣詐騙顯得更加正當。

黑客首先操縱了與知名加密貨幣公司和個人有關的推特賬戶。

下午2點16分左右，黑客劫持了加密貨幣交易商"@AngeloBTC "的賬戶，并在推特上發布了以下要求提供比特幣的公告 。

隨后，黑客通過"@AngeloBTC "賬戶向多名推特用戶發送了數條私信，其中包含比特幣錢包的支付鏈接。

黑客升級推特攻擊行動，改變了詐騙方案，直接轉發被攻陷加密貨幣公司的推文，包含支付請求。 下午3:18左右，黑客攻陷了加密貨幣交易所Binance的賬戶，并發送了包含比特幣詐騙地址鏈接的推文。

下午3點26分至4點12分左右，黑客劫持了10個與加密貨幣相關的賬戶(包括政府監管的實體Coinbase、Gemini Trust Company和Square公司)并發送了不同版本的信息。

接下來，攻擊者孤注一擲，將目標鎖定在擁有數百萬粉絲的大V 推特賬戶上。下午4:17至6:05之間，黑客使用知名人士和著名公司的被入侵賬戶發送推文，如特斯拉公司的首席執行官埃隆•馬斯克、微軟公司的聯合創始人比爾•蓋茨，說唱歌手和企業家坎耶•韋斯特(Kanye West)以及媒體人士，企業家金•卡戴珊•韋斯特，民主黨總統候選人小約瑟夫•拜登，伯克希爾-哈撒韋公司CEO沃倫•巴菲特，不敗職業拳擊手小弗洛伊德•梅威瑟，以及Uber公司、蘋果公司。黑客還利用一些被入侵賬戶多次重發相同的比特幣詐騙推文。

考慮到每個高知名度用戶賬戶的粉絲數量，這些詐騙推文覆蓋了全球數百萬潛在受害者。黑客通過推特入侵行動竊取了價值約11.8萬美元的比特幣。

4. 用戶的非公開信息被曝光

在推特入侵事件中，有130個推特用戶賬戶被盜。其中有45個賬戶被用于發送推文。

對于其中7個涉案的推特賬戶，黑客還通過推特的 "你的推特數據"(YTD)工具下載了賬戶信息，該工具提供了一個推特賬戶的詳細信息和活動摘要。YTD中的信息包括用戶的個人資料信息、推文、私信、媒體(包括圖片、視頻和附加在推文和私信上的GIF)、賬戶的粉絲列表、用戶關注的賬戶列表、用戶的通訊錄、推特推斷出的關于用戶的人口統計信息、用戶在推特上看到或參與的廣告信息等。用戶可以通過登錄賬戶、輸入賬戶密碼、然后提出申請，從而獲取YTD。

黑客利用內部工具為7個賬戶申請YTD并下載了數據，另有52個賬戶的數據被申請但并沒有被下載。推特證實，它直接與所有被下載YTD的賬戶所有者取得了聯系。這7個賬戶都不是大V賬戶。

推特認為，在130個目標賬戶中，有多達36個賬戶的私信收件箱被黑客訪問，包括荷蘭一名民選官員的大V賬戶。在推特黑客事件發生后的一周內，荷蘭政治家Geert Wilders向多個新聞來源證實，未經授權的私信是從其推特賬戶發出的。據推特稱，沒有其他前任或現任民選官員賬戶的私信收件箱被訪問。

5. 推特的回應

7月15日上午，幾名員工報告了可疑的登錄和電話，推特才首次意識遭到攻擊。下午3點18分左右，加密貨幣公司的賬戶被接管，推特的內部事件響應團隊還在調查這些可疑電話。他們緊急做出了回應，但花了數小時才將黑客從系統中驅逐。

推特入侵事件在光天化日下發生，但推特并沒有公開報告任何實時進展。相反，在7月15日的大部分時間里，推特唯一的公開承認是刪除了揭示了其內部工具截圖以及與騙局有關的推文。

下午5點45分左右，推特在發推稱，它 "意識到發生了影響推特賬戶的安全事件"，并正在 "采取措施進行修復" 。

不幸的是，推特在下午6點18分才向用戶證實了上述采取的措施：包括阻止許多大V賬戶發推特或更改密碼，并對事發前30天內更改過密碼的賬戶進行鎖定。這直接導致多個公共機構無法訪問自己的賬戶，例如，國家氣象局無法在推特上發布龍卷風警報，連金融服務管理局的推特賬戶也有幾個小時無法使用。

在內部，推特采取了疾風驟雨般的措施，以阻止推特入侵事件帶來的破壞。為了防止黑客進一步滲透其系統或個人賬戶，它嚴格限制或撤銷了員工對其內部系統的訪問權限，導致用戶維護請求的響應時間過長。它還制定了激進的驗證流程：每位推特員工(從CEO杰克•多西開始)都必須在視頻會議監督下手動更改賬號密碼。

晚上8點41分，即在官宣被入侵后大約三個小時，大多數賬戶可以恢復發推了。

6. 安全缺陷助推黑客成功

推特被黑事件警示我們：即使是初出茅廬的網絡犯罪分子也會造成難以估量的破壞。黑客的成功在很大程度上是源于推特內部網絡安全協議的缺陷。

問題是從高層開始的。自2019年12月以來，即入侵事件發生前7個月，推特就沒有設立首席信息安全官("CISO")職位。缺乏強有力的組織領導及高層參與是網絡安全薄弱的常見根源。COVID-19大流行給IT和網絡安全帶來了一系列新的挑戰，2020年尤其需要強有力的領導。與許多機構一樣， 推特在3月份因新冠疫情而轉到遠程辦公。這種轉變使推特更容易受到網絡攻擊，放大了現有的弱點。

黑客直接利用了推特向遠程辦公的轉變。2020年3月，全面推行遠程辦公的升溫給推特的技術基礎設施帶來了壓力，員工在連接虛擬專用網絡時經常出現問題。黑客利用這些問題，假裝從推特的IT部門打來電話詢問虛擬專用網絡問題，然后勸說員工將自身憑證輸入到近似的假冒虛擬專用網絡登錄網站。黑客的說法更加可信，并最終成功了，因為推特的員工都使用虛擬專用網絡進行工作連接，經常遇到需要IT部門協助的虛擬專用網絡問題，。

黑客依靠簡單策略侵入推特：社會工程。社會工程是指利用欺騙手段誘使個人泄露機密或個人信息，這些信息隨后用于欺詐。最著名的社會工程攻擊類型也許是網絡釣魚--使用欺騙性的電子郵件來誘騙收件人，例如，打開惡意附件或提供他們的用戶名和密碼。本次黑客使用的是 "電話釣魚"，即通過電話進行的社會工程。網絡釣魚和電話釣魚是黑客進入網絡最常用的方法之一。例如，在2020年1月至7月期間，向金融服務管理局提交的重大網絡安全事件通知中，約有三分之一涉及網絡釣魚或電話釣魚。

黑客依靠推特及其員工的基本信息使欺騙行為更加可信。黑客似乎進行了研究，以確定推特員工的基本職能和頭銜，這樣就可以更好地冒充推特的IT部門，電話釣魚中的對話本身也可以提供更多關于推特內部運作的信息。掌握了這些個人信息，黑客成功地讓幾名推特員工相信自己來自推特的IT部門，并竊取他們的身份憑證。

2020年3月之后，推特沒有實施任何重大的補償性控制措施來減輕遠程辦公的高度風險，而黑客正是利用了這一點。推特現在正在實施額外的安全控制措施以防止將來發生類似的攻擊，例如改進MFA、增加網絡安全意識培訓，并于2020年9月底宣布聘請了一名新的CISO。

推特入侵事件的后果表明，推特和其他社交媒體公司應當在遭遇網絡事件之前就未雨綢繆，實施強有力的控制措施，而不是事后亡羊補牢。

7. 事件凸顯社交媒體平臺的安全風險

推特和其他大型社交媒體公司深受歡迎，提供了有價值的服務。通過推特，消費者可以收到來自朋友和熟人的最新近況、來自媒體機構的突發新聞，以及來自政府當局的公共安全和緊急通知。在許多情況下，推文會邀請用戶點擊指向其他可能用來購買商品或服務的網站鏈接。

推特入侵事件凸顯了推特等社交媒體平臺的相關風險。一個少年及其年輕同伙就可以輕松黑掉推特，并劫持了世界上最知名人士和組織的賬戶。本次的黑客團伙還局限于傳統的欺詐活動，如果是由資源充足的敵人發起這樣的入侵攻擊，就會通過操縱公眾對市場、選舉等的看法造成更大的破壞。

近年來，推特和其他社交媒體平臺被用來影響金融市場，并造成了破壞性的后果。例如，2013年，在黑客接管美聯社的推特賬號，并發推文謊稱白宮的兩起爆炸事件傷害了總統奧巴馬，導致標普500指數在幾分鐘內損失了1365億美元的價值。金融犯罪分子利用社交媒體進行 "拉高出貨 "套路，通過虛假或誤導性的推文暫時抬高股票價格;當他們賣出股票并停止宣傳時，導致股價暴跌會傷害毫無戒心的投資者。多項研究表明，無論推文內容是真是假，都會影響交易量和未來的市場活動。

社交媒體也可能擾亂選舉和公共機構。2020年7月，國家情報局局長辦公室宣布，俄羅斯和伊朗等國利用社交媒體和傳統媒體的影響措施，干預民主進程。這與參議院最近的一份情報相符，該報告發現，俄羅斯在2016年大選期間發起網絡影響力行動，旨在破壞民眾對民主機構的信心并挑起社會的不和諧。

之所以可能產生這種影響，很大程度上是源于美國人對社交媒體的依賴。2019年初，推特平均月活躍用戶超過3.3億人，到2020年中期，推特平均日活躍用戶超過1.86億人，其中近20%(3600萬)在美國，超過一半的美國成年人 "經常 "或 "有時 "從社交媒體獲取新聞。2020年，社交媒體是美國人僅次于新聞應用和網站的首要新聞來源之一，尤其是50歲以下的人群。與此同時，公眾對更廣泛的媒體生態系統的信任度也在下降：2019-2020年的一項調查發現，"公眾對國家兩極分化的媒體環境的信任度很低"，這為錯誤信息的滋生創造了可能。

鑒于社交媒體平臺在全球交流中的重要性以及以往的攻擊歷史，類似推特入侵的事件暴露了社交平臺對于選舉、金融市場以及國家安全穩定性和完整性的風險。

8. 網絡安全優秀實踐減輕風險

正如推特入侵事件所示，網絡安全缺陷會造成嚴重后果。下面的做法可以幫助保護消費者和相關行業免受類似的黑客攻擊，并將大大降低推特入侵事件發生的可能性。

1. 領導力

鑒于網絡安全的重要性，需要從高層開始定調。領導力至關重要，執行層的領導應當對網絡安全負責。金融服務管理局的網絡安全法規要求公司必須設立CISO，這是有充分理由的。CISO應該有足夠的獨立性來推動網絡安全協議的改進。此外，對于獲得來自高級管理層和整個組織對網絡安全措施的認同方面，CISO發揮著重要作用。若不設立CISO，則會顯得高層領導并不重視網絡安全。

2. 訪問管理和身份驗證

推特的訪問管理和身份驗證未能阻止初出茅廬的黑客獲取強大的內部工具。訪問控制是限制誰可以訪問或使用資源的安全技術或措施。根據最佳實踐，金融服務管理局的網絡安全法規要求每個用戶只能訪問其工作所需的系統和應用程序。為適應角色和職責的變化，應當對訪問定期重新認證，。

推特確實有一些訪問控制措施，但還不足以阻止入侵事件的發生。推特限制了對內部工具的訪問權限，但仍有超過1000名推特員工使用這些工具來履行工作職能和職責，如推特用戶賬戶維護和支持、內容審查以及對違反推特規則的報告做出回應。在入侵事件發生后，推特立即減少了可使用內部工具的員工數量。

認證需求也應根據風險進行校正。例如，對于高風險的應用和功能(如推特的內部工具)，認證要求應當更加嚴格。對關鍵功能的訪問應該要求MFA。對于高風險功能的另一個可能的控制措施是，要求在完成操作之前必須由另一名員工進行認證或批準。如果攻擊者只攻破了一名員工的訪問權限，上述要求可以減少損失。

MFA至關重要，但并非所有的MFA方法都生而平等。推特使用了基于應用的MFA，它向員工的智能手機發送認證請求。這是一種常見的MFA形式，但是可以被規避。在推特入侵事件中，黑客在登錄時通過說服推特員工進行基于應用的MFA認證，從而繞過了MFA。最安全的MFA形式是物理安全密鑰，或者說是硬件MFA，即使用插入電腦的USB密鑰來認證用戶。這種類型的硬件MFA可以阻止黑客，推特現在正在實施它來代替基于應用的MFA。

3. 員工教育和培訓

黑客通過社會工程學攻擊愚弄推特員工從而獲得成功。這類攻擊可以針對組織中任何部門的員工，而第一道防線是確保所有員工意識到威脅，包括旨在利用遠程工作這種新常態的社會工程技術。例如，金融服務管理局的網絡安全法規要求所有員工進行定期的網絡安全意識培訓。除了為培訓設立指標，機構還應該定期進行網絡釣魚和電話釣魚演習，以測試應對此類攻擊的應對能力。

組織應進一步建立統一的標準，用于信息溝通和對員工進行相關教育。例如，制定測試金融機構安全和健全性監管標準的聯邦金融機構考試委員會，推薦在客戶上網獲取產品和服務時，開展網絡安全衛生教育。

以下這些原則也適用于員工，特別是當其訪問雇主的虛擬專用網絡時或使用自己的設備而不是雇主發放的設備時。

• 以簡潔易懂的方式解釋公司將如何與員工進行聯系，來調查可疑的賬戶活動(例如，公司不會要求員工通過電話或電子郵件提供其登錄憑證)。
• 員工在使用機構的遠程訪問服務時應采取的建議措施和謹慎做法。
• 為減輕詐騙詭計帶來的風險，技術和業務方面可行的建議措施。
• 提供當雇員發現可疑的賬戶活動時與機構聯系的方法。

4. 安全監控

除了確保正確的人在正確的時間有正確的訪問權之外，最佳實踐是始終記錄和監測其使用情況。安全信息和事件管理(SIEM)系統不僅記錄使用情況，而且收集、匯總、分析和關聯來自離散系統和應用程序的信息，并利用這些信息來識別異?；顒?，包括內部威脅和惡意行為者。

如果推特擁有強大的安全監控程序，它就能近乎實時地檢測到異?；顒樱⒀杆僮龀鲰憫?或根據風險主動終止會話)。安全團隊應該使用SIEM系統來監控網絡活動，并對威脅警報進行跟蹤。

無論采用哪種日志管理方法，機構都應該制定流程來收集、匯總、分析和關聯安全信息。安全策略應該定義安全和操作日志的保留期限。機構維護事件日志以了解安全事件或網絡事件。監測這些事件日志，發現是否存在異常，并將這些信息與其他信息源進行比較，可以增強機構掌握趨勢、快速應對威脅和改進報告的能力。