推特史上最大安全事故：奧巴馬、馬斯克公開索要比特幣！FBI已介入調查_風聞

昨天恐怕是Twitter上上下下有史以來最忙亂的一天。

美西時間7月15日中午12點，Twitter——全球最為著名的社交媒體平台，在無聲無息中突然被黑客大規模攻擊，安全防線全面崩潰。

在幾分鐘之內，區塊鏈行業內能叫得上名字的大V和官推全部被盜，公開發出同一條文字相同的推文，以慈善的名義向人索要比特幣。被“強行乞討”的官推包括幣安、Gemini、Coinbase、Kucoin、Bitfinex、Tron、Bitcoin.org，以及有影響力的個人賬號Charlie Lee、 孫宇晨等等等等。

部分被盜賬號截圖，圖片來自engadget

除了幣圈的人之外，就連包括美國前總統奧巴馬，下一屆美國總統競選人拜登、説唱歌手侃爺，特斯拉CEO馬斯克，亞馬遜CEO貝佐斯，以及Apple 和Uber 的官方推特等在內的知名賬號都紛紛發出了「我！名人！打錢！懂？」的信息。

黑客利用奧巴馬的Twitter演戲，圖片來自網絡

黑客的戲也演得挺全，甚至以奧巴馬的身份，在那條詐騙推文下面留言：“已經發了4萬美金咯！”

截止目前為止，該詐騙賬户已經產生了370餘筆交易，總計詐騙金額已經達到12萬美元。

目前，Twitter已經開始對黑客展開調查，而由於涉及到重要政治人物，美國聯邦調查局（FBI）也已經對黑客的身份展開調查。FBI的介入説明此次事件已經上升到國家安全層面。

在Twitter上騙比特幣也太容易了

此次黑客攻擊事件，是 Twitter 公司歷史上最嚴重的一次安全事件。無論Twitter公司的危機公關部門之後如何解釋這件事，都無法將責任從自己身上洗下去。並且這種安全事故早在幾年前就已經發生過。

從 2018 年開始，就有騙子冒充科技大佬及知名加密貨幣愛好者伊隆 · 馬斯克(Elon Musk)。他們使用馬斯克的頭像，選擇一個相似的用户名，然後發佈一條彷彿天上掉餡餅一般的推文：借給我一些加密貨幣，我會還你更多。

此次事件發佈的信息與2018年高度相似（此為本次事件截圖）

這些騙子甚至會去馬斯克的名下企業官推回復消息，例如去SpaceX回覆消息，好讓假賬户看上去更真實。騙子還會通過水軍散播虛假推文，也是為了增加真實性。這種【高仿號】詐騙的行為居然在Twitter上持續了數天之久。

儘管Twitter後來封禁了這些高仿號，但根據《獨立報》在2018年11月的一份報告中顯示，2018年在Twitter上冒充馬斯克的詐騙者已經騙取了價值數十萬美元的比特幣。

而對於這次的事件，美國著名科技記者尼克 · 斯塔特(Nick Statt)表示：“這些知名大公司的官推和名人們的賬號，都被捲入了這場Twitter史上最大的黑客攻擊事件中，發佈比特幣詐騙信息。並且從美國東部時間下午4點開始發佈詐騙推文直到5點45分這一個多小時中，Twitter始終沒有做出任何回應和措施，大部分受害者也正是在這一個多小時中跌進詐騙陷阱的。”

兩小時後 Twitter 簡單地表示：公司已經禁用了認證賬户的發推功能，或者已經重置了他們的密碼，同時公司正在努力調查攻擊的根本原因。

但是就在 Twitter 説明情況之前，許多用户已經發不出推文了。

Twitter對於此次事件的回應，圖片來自Twitter截圖

**2018 年和這次的事件讓人們看清楚了三件事。**第一，總會有人上當受騙，每一次有人上當受騙，都會讓其他詐騙者看到其中的巨大利益；第二，Twitter 對這種安全事件的處理緩慢，遠不及該公司一早許下的會嚴肅對待這些問題的承諾；第三，Twitter的安全政策和技術手段往往是在詐騙事件發生後才制定實施的，這種做法幾乎等於【亡羊補牢】。

既然事情已經發生，那麼搞清楚黑客使用什麼方式盜取用户賬户密碼才是最關鍵的事情。

大面積的盜號，黑客真的只為了騙錢？

根據《Vice》雜誌的安全記者約瑟夫 · 考克斯(Joseph Cox)的報道，地下黑客社區的成員之間分享的屏幕截圖顯示，有人可以訪問 Twitter 內部用於管理賬户的工具。

考克斯表示：“有兩名地下黑客社區的網友向媒體提供了一個內部控制面板的屏幕截圖，稱Twitter 的員工就是使用這個內部控制面板管理賬户。” 而一名消息人士稱，Twitter 的這個控制面板是用來更改某些賬户的所有權。目前，Twitter 已經刪除了這些控制面板的截圖，並以【內容違反社區規則】封禁了發佈這些截圖的賬户。”

根據考斯克的説法，這次安全事故並不是一次簡單的黑客攻擊。根據他的猜測，此次Twitter被攻擊有可能存在兩種情況：1.黑客成功破解了Twitter的用户管理系統；2.Twitter公司內部出現了內鬼，他利用職權盜取大V的賬號並牟取私利。

圖片來自The Verge

而根據Twitter公司説法，**公司的安全人員檢測到了一種協同式社交工程攻擊。**黑客成功鎖定了一些具有訪問內部系統和工具權限的員工，並通過社交工程攻擊的方式盜取了他們電腦中的文件和權限。

那麼什麼又是社交工程攻擊呢？

首先，攻擊者會冒充客服人員通過電話或電子郵件的方式與攻擊對象取得聯繫。建立信任關係之後，再以客服的身份將被攻擊者的註冊郵箱更改為屬於攻擊者的郵箱地址，再將密碼重置的郵件發送到新的地址中取得用户的密碼。經過以上幾個步驟，攻擊者便完全掌握了賬號信息。

若黑客有政治性目的，那後果會十分嚴重，圖片來自網絡

而黑客只要不通過Twitter發送任何詐騙信息的話，用户就永遠不會知道賬號密碼已經被黑客獲取了。這就意味着黑客完全可以在收集了大量的賬號後，在一個特定的時間節點集中發送推文，從而製造大規模的事件。

至少從這次事件來看，是這樣的。並且Twitter對這次事件的處理不力，還有可能將此次事件的影響擴大。

雖然此次黑客入侵的動機和來源尚不清楚，但合作入侵世界領導人、名人和大公司已認證賬户的做法令人恐懼。**Twitter已經成為全球最大社交媒體之一，許多醫療和服務機構都通過Twitter來發布信息。**例如，伊利諾伊州林肯國家氣象局在認證賬户被禁言前，剛剛發佈了一條龍捲風警告。那些依賴這個賬號瞭解龍捲風後續情況的用户們，這下可能要倒黴了。

兩條推特中間相差三個小時，圖片來自Twitter截圖

想象一下，假設是帶着某種政治意圖的人控制了這些賬號，那麼極有可能會導致國際誤會。並且現在距離美國大選已經不到四個月的時間了，這樣大規模的黑客攻擊無疑讓人們開始恐懼更加嚴重的後果。

同時，雖然Twitter公司在事件之後封禁所有認證賬户的發推權限是不得已而為之，但這種方法仍然需要商榷。

避免同類事件？加強監管才是硬道理

作為成功的社交軟件，人們可以在Twitter自由自在的發表自己的言論和看法，但是頻繁出現的安全事件，只會讓人們對社交平台的信任越來越低，最終導致用户流失。

可是，這樣的事件就無法做出有效的預警和避免嗎？答案是否定的，在言論自由的現代社會，社交平台作為各種信息的集散點，也應該擔起屬於自己的責任。

小探認為，如果要避免同類事件的發生，Twitter至少需要改善以下三點。

**首先，平台下場監督任何金錢活動。**在認證賬號發佈任何涉及金錢的抽獎、返利活動時，需要官方平台監督發佈者根據既定的規則進行公平抽取並公示。並且建立相對完備和快速的申訴渠道，這樣就能避免活動發起者不發獎的出現。

Twitter應該嚴格監督任何與金錢來往有關的推文，圖片來The Verge

**其次，完善且反應迅速的審核和預警機制。**在一個合格的社交網絡中，用户能自由自在的上傳和發表自己的內容和看法。但是在言論自由的情況下，對重要信息的審核就尤為重要。而在今年的疫情期間，Twitter在審核消息方面的成果就顯得非常失敗，比如對於注射消毒液就能殺死新冠這樣的謠言。

雖然當時許多用户發推諷刺這種説法並配上『佯裝注射』的圖片，但這種類型的推文卻沒有被打上的風險標記，且官方也未將專業衞生機構的闢謠信息置於該類信息搜索頁的頂部，這就會讓我一些醫學常識匱乏的人信以為真，從而導致危險發生。

部分Twitter用户發推諷刺該説法，但頁面中完全沒有相應提示，圖片來自Twitter截圖

**第三，對於相關政府賬號的區別保管。**如上面所説，有許多社會服務機構、政府機構、國家領導人等通過Twitter進行公告發布，而這些消息通常與社會民生和國際關係息息相關，保證這種類型賬號的安全比其他類型的賬號更為重要。那麼，為了防止這類賬號被盜而導致社會動盪甚至國際誤會的產生，Twitter是否可以通過技術手段對這些賬號進行特殊的保護或者設置特別的登錄驗證方式來保證賬號的絕密性和安全性呢？

當然，上面的一切猜測都需要Twitter公司有所作為才能成為現實。而目前，我們只需要等Twitter對此次事件的細節公示和一個滿意的答覆。

圖片來自網絡

總之，無論平台做出怎樣的防範措施，還是會有不法分子會通過各種各樣的方式來進行詐騙。與其讓平台列舉出形形色色的管理條款，不如我們自己從一開始就擦亮眼睛，識別詐騙信息。

畢竟，最可怕的黑客，是我們貪婪的慾望；而最好的防禦，就是抵抗慾望的堅強意志。