推特网讯:Twitter 的安全团队(我拒绝将该网站称为 X,因为这是一个 9 岁孩子会选择的完全愚蠢的名字)对SEC Twitter 帐户的高调黑客事件做出了回应,该事件成为了世界各地的头条新闻。
他们有什么要说的?
嗯,简而言之——“这不是我们的错。”
根据我们的调查,此次泄露并非由于 X 系统遭到破坏,而是由于身份不明的个人通过第三方获得了对与 @SECGov 帐户相关的电话号码的控制权。我们还可以确认该帐户在被盗时没有启用双因素身份验证。
@Safety 所说的是有人劫持了与 SEC 官方帐户关联的手机号码的控制权。有人推测,这是通过 SIM 卡交换攻击进行的。
SIM 交换攻击是指诈骗者设法欺骗手机提供商的客户服务人员,让他们控制他人的电话号码。有时,诈骗者会向电信公司讲述其目标的个人信息,欺骗他们相信自己不是别人。
当 Twitter 等服务稍后通过短信向用户的电话号码发送密码重置链接或身份验证令牌时,它最终会落入犯罪分子手中。
过去 SIM 交换攻击的受害者包括前 Twitter 老板 Jack Dorsey,他的 Twitter 帐户在 2019 年被劫持。
而且,恐怕 Twitter 确实可以通过知道并访问手机号码来重置帐户密码。
另一个有趣的消息是,SEC 官方 Twitter 帐户没有启用双因素身份验证 (2FA)。我建议所有用户打开此功能,因为它提供了额外的安全层 – 并且可以使犯罪分子更难(尽管并非完全不可能)闯入帐户。
坦率地说,听说美国证券交易委员会没有启用多重身份验证,这真是太疯狂了。
这还是由 Gary Gensler 担任主席的 SEC 吗?Gary Gensler 在 10 月份的网络安全意识月期间提醒每个人设置多因素身份验证以保护其帐户的重要性?
嘿,这是 Twitter/X/Elon 的数十亿美元虚荣项目的想法(酌情删除):
为什么不对Twitter 上的已验证帐户和公司帐户强制执行双因素身份验证(最好不是基于短信,因为有更好的 2FA 形式) ?