您现在的位置是:首页 > IT基础架构 > 网络与安全 >
18岁黑客现场演示入侵Twitter过程
2009-01-12 19:37:00作者:lvvl来源:
摘要据国外媒体报道,本周一成功入侵美国知名微型博客网站Twitter的黑客周二已经现身,这名年龄仅18岁的美国黑客当天在接受美国IT杂志《连线》科技博客栏目Threat Level电话采访时表示,通过自制的密码破解工具,他轻松获得了Twitter管理团队的登录密码。...
据国外媒体报道,本周一成功入侵美国知名微型博客网站Twitter的黑客周二已经现身,这名年龄仅18岁的美国黑客当天在接受美国IT杂志《连线》科技博客栏目Threat Level电话采访时表示,通过自制的密码破解工具,他轻松获得了Twitter管理团队的登录密码。他当天还表示,去年11月发生的YouTube用户账号入侵事件也是自己所为。
Twitter管理团队周一晚些时候在该公司官方博客中表示,周一上午(美国当地时间)发生了一起严重黑客入侵事件,一名黑客当天成功入侵Twitter网站,利用Twitter提供的客户服务工具,更改了33位美国名人和企业用户Twitter账号的密码,并在相应个人资料页面中张贴损贬当事人的低俗内容。受到攻击的Twitter账号包括美国下任总统巴拉克·奥巴马(Barack Obama)、知名歌星“小甜甜”布兰妮(Britney Spears)等。
入侵Twitter网站的这名美国黑客没有透露其真实身份,仅表示自己来自美国东海岸,目前是在校学生,在美国黑客圈的网名为“GMZ”。GMZ称,他这次入侵Twitter仅是属于好奇,并首先向一位看上去人气很高的Twitter用户“下手”,恰好这位用户又是Twitter客户支持团队成员之一,因此GMZ破解了这位客户支持人员的密码之后,便获得了Twitter在线客户服务工具的控制权。
GMZ称,自己首先使用密码破解器对这位Twitter客户服务团队人员发起字典式攻击(dictionary attack),以猜测该工作人员会使用哪个英语单词(或词组)作为登录密码。在密码破解器自动长时间工作后,GMZ发现这位客服人员的密码为英文单词“幸福”(happiness)。
GMZ表示,破解Twitter用户登录密码过程并不复杂,原因是Twitter对同一用户输入不同密码并无次数限制,“这显然是Twitter管理团队的重大安全失误。我想Twitter管理团队都不好意思承认这一点。”
取得网站管理控制权
周一Twitter入侵事件被媒体曝光后,美国黑客圈的一些人士初步认定,这起入侵事件应是GMZ所为。眼见如此,GMZ周二承认了此事,并答应接受《连线》Threat Level的电话采访。
GMZ表示,自己周日晚在Twitter网站“闲逛”,并注意到一位网名为“Crystal”的Twitter用户出现频度很高。他当时以为,Crystal在各条消息中出现的频度很高,可能是因为她在Twitter的人气很高,于是就决定破解Crystal的密码。从周日晚起,GMZ就让密码破解器整晚运行,到周一上午11点时,他发现自己已获得了Crystal账号控制权。
此时GMZ又发现,Crystal并不是普通用户,而是Twitter管理人员之一。如此一来,GMZ就轻松获得了对其他普通Twitter用户账号的访问权。GMZ还承认,自己在进行上述入侵活动时,甚至都没有使用代理服务器来隐藏自己IP地址,原因是认为这起入侵只不过是个小玩笑,而不会引起美国警方的注意,“我原以为此事不会成为媒体头条。”
GMZ表示,在获得Twitter管理控制权后,他还把相应信息发送到美国一家名为Digital Gangster的黑客论坛,以与其他“同道共享”,“我等于是向其他黑客免费提供了Twitter访问账号。”随后该论坛约20名黑客向GMZ发出请求,希望获得对奥巴马Twitter账号的访问权。GMZ更改奥巴马Twitter账号登录密码后,然后将所更改密码告知其中5名黑客。
Digital Gangster的其他黑客则要求获得布兰妮、Facebook、哥伦比亚广播公司(CBS)新闻、Digg创始人凯文·罗斯(Kevin Rose)等个人或企业用户在Twitter所设账号的访问权。正因为如此,Twitter网站中被更改账号周一出现了大量低俗、虚假内容。
Twitter周一晚称,共有33个Twitter账号遭到了更改,并表示这一入侵事件同数天前Twitter发生的钓鱼式攻击有着根本区别,“我们发现了入侵事件后,立即封锁了被入侵账号。目前奥巴马等人已重新获得了对各自账号的控制权。”
未参与发布虚假内容
GMZ表示,自己仅仅是更改了奥巴马等人Twitter账号的密码,但没有参与这33个账号上所出现各种低俗、虚假内容的发布。他还承认,在自己攻破Twitter之后一两个小时内,Twitter管理人员已觉察到是GMZ在“搞鬼”,因此屏蔽了GMZ的Twitter账号。
Twitter联合创始人比兹·斯通(Biz Stone)周二证实,周一的入侵者确实利用字典式攻击获取了网站管理权限。但斯通既没有透露遭到攻击员工的具体姓名,也拒绝证实相应管理密码是否是“happiness”,更没有透露Twitter用了多长时间才发现有人已成功入侵网站管理系统。
斯通表示,Twitter管理层已同所有被入侵的Twitter用户进行了联系沟通,但目前还没有就此事向美国联邦调查局(FBI)或其他美国执法部门汇报,“至于如何处理此事,我们还在听取Twitter法律顾问的意见。”他还表示,发生周一入侵事件后,Twitter管理团队已加强了对用户登录安全的管理。
曾入侵YouTube用户账号
GMZ表示,自己从事黑客活动已经三年,目前主要学习游戏开发。他还承认,去年11月,自己曾入侵美国青少年女影星麦莉·赛勒斯(Miley Cyrus)在谷歌旗下视频共享网站YouTube所设立账号;而GMZ一位朋友随后上传了赛勒斯已死于车祸的虚假视频。GMZ表示,自己还曾利用字典式攻击,成功获得其他一些美国名人YouTube账号的控制权。
在发生赛勒斯账号入侵事件后,YouTube屏蔽了GMZ的IP地址,并提高了安全预防措施。在这种情况下,GMZ就想到来Twitter“碰碰运气”。他表示,自己完全没有想到,Twitter竟然对用户重复输入不同登录密码的次数没有任何限制。GMZ表示,自己只是偶然在YouTube看到其他用户提到Twitter,之前从没有听说过该网站。
(本文不涉密)
责任编辑: