國際深探
2020.08.09 06:00

【駭翻推特(上)】從拜登到貝佐斯 當駭客接管政要首富的官方帳號

文|查修傑
亞馬遜創辦人貝佐斯的推特帳號,今年6月遭駭客入侵。(推特)
亞馬遜創辦人貝佐斯的推特帳號,今年6月遭駭客入侵。(推特)

如果世界首富的亞馬遜網站老闆在官網上貼文,宣稱他今天心情好,打算幫助那些因疫情而受害的人,只要你把錢匯入他的比特幣帳戶,他就加倍奉還,把2倍金額匯還給你,聽到這麼好康的事情,而且是從貝佐斯經過認證的帳號上發起的慈善義舉,誰會懷疑,誰又能抗拒?

事實證明,多數網民顯然比駭客想像得更精明,沒有輕易上當;當然,也有可能是大部分人手上並無比特幣帳戶,正猶豫該不該去申請;另外,或許是因為推特的網管人員發現得早,大約1個多小時後,就透過管理者權限把這則貼文給刪除了,以至於經過一個下午大混亂,當一切塵埃落定,推特出面宣布排除漏洞,重新恢復網站正常運作時,根據媒體掌握到的訊息,幕後操弄這場騙局的駭客總共得手金額,僅區區13枚比特幣,換算成市值約12萬美金,對比入侵網站所須投入的心力,和事後可能被逮的風險,這樣的報酬實在不算太多。

然而,這起事件卻在新聞熱度退去後,持續在網安和資安領域裡掀起餘波盪漾,衍生後座力,因為網路安全專家眼中所看見的,並不是金額數字的大小,或是駭客做了些什麼,反而是那些駭客有機會「可以」做,卻沒有做的事。

被害者名單上,除了貝佐斯、蓋茲、馬斯克等商界名流,與蘋果、Uber的官方帳號之外,前美國總統歐巴馬,以及今年底很有可能取代川普,入主白宮的民主黨總統候選人拜登,也赫然在列。

「如果在一場重大危機中,發生了類似這次的入侵事件,導致那些原本用來發布官方訊息、傳達重要資訊的認證管道遭到劫持,成為誤導訊息的發散處,後果可能非常嚴重,」倫敦國王學院的Alexi Drew博士在受訪時,對BBC記者表示。

英美當局對推特遇「駭」事件的關切程度,從FBI立即宣布啟動調查,美國參院商業委員會要求推特派員赴國會提出解釋,美國白宮也隨即出面澄清川普個人帳號「沒有」被挾持等一連串後續發展,即可見一斑。雖然目前包括推特本身所進行的各方調查,還沒有完整報告出爐,但根據多家媒體報導,這起網路攻擊事件之所以沒有釀成更大災禍,很有可能是因為攻擊者是一群著迷於網路次文化的年輕駭客,初始用意並不是要駭翻推特,或是擾亂政局,而純粹只為了取得一些罕見的「帳號名稱」──如僅有單一字母或數字的「@y」或「@9」──在侵入社群網站後台系統之後,「順便」犯案。

「我只是覺得很酷,可以拿到一些別人都想要的帳號名稱,」自稱是犯案同夥之一的「ever so anxious」(網路代號),在網路聊天室接受紐約時報記者採訪時表示。

這個有4名成員的犯案集團,年齡分別為19歲或20出頭,其中一名以「Kirk」為代號的駭客最先出面,聲稱他可以掌控社群網站的內部系統,並招攬其他人成為他轉售帳號的下線,但Kirk稍後卻脫隊獨自行動,在未知會其他成員的情況下,大肆入侵政商名流帳號;事後「ever so anxious」等人因擔心惹禍上身,才會主動聯繫媒體,道出犯案內幕。

資料來源:New York Times, Krebs on Security, Wired

更多內容,歡迎訂閱鏡週刊了解內容授權資訊

相關關鍵字: