內(nèi)部黑客講述：Twitter 史上最大規(guī)模攻擊事件始末

鈦媒體注：本文來自于微信公眾號(hào)新浪科技（ID：techsina），編譯丨勻琳，鈦媒體經(jīng)授權(quán)發(fā)布。

7 月 15 日發(fā)生在 Twitter 上的針對(duì)政客、企業(yè)和文化精英的黑客攻擊陰謀始于周二晚，兩名黑客在網(wǎng)絡(luò)消息平臺(tái) Discord 上的調(diào)侃信息。

根據(jù)媒體獲悉的對(duì)話截圖，昵稱為 "Kirk" 的用戶寫道：" 嗨，哥們。我在 Twitter 工作。不要把這些分享給任何人。很嚴(yán)肅地說。"

然后，他證明自己可以控制 Twitter 上的有價(jià)值賬戶——這種事情，一般需要內(nèi)部人士訪問該公司的計(jì)算機(jī)網(wǎng)絡(luò)才能做到。

收到這條消息的黑客（顯示的昵稱叫 "lol"）在接下來的 24 小時(shí)內(nèi)認(rèn)為，Kirk 根本不在 Twitter 工作，因?yàn)樗舷胫o公司使壞。但是Kirk 也確實(shí)可以訪問 Twitter 的最敏感工具，可以讓他控制幾乎任何一個(gè) Twitter 賬戶，包括前總統(tǒng)巴拉克 · 奧巴馬、小約瑟夫 · 拜登、伊隆 · 馬斯克等眾多名人的賬戶。

盡管這次黑客攻擊事件馬上引來了全球關(guān)注，也讓 Twitter 陷入信任危機(jī)，盡管其他科技公司也提供了安全幫助，然而究竟誰(shuí)該為這次攻擊負(fù)責(zé)、以及他們是如何成功的等等基礎(chǔ)細(xì)節(jié)，依然是一個(gè)謎。調(diào)查仍處于早期階段。

但有媒體采訪到了四名參與這次攻擊的人員，他們分享了周二和周三的大量日志與屏幕截圖，證明他們?cè)诤诳凸舭l(fā)生前與發(fā)生后均有參與。

外媒通過將他們的社交媒體和加密貨幣賬戶與周三事件中出現(xiàn)的賬戶相對(duì)比，證實(shí)這四人確實(shí)與那次黑客攻擊事件有關(guān)聯(lián)。他們還提供了參與黑客活動(dòng)的確鑿證據(jù)，比如 Discord 和 Twitter 上的對(duì)話日志。

在研究公司 Chainalysis 的協(xié)助下，外媒對(duì)比特幣交易進(jìn)行了分析。分析發(fā)現(xiàn)，攻擊事件的核心人物是 Kirk，他在攻擊事件發(fā)生當(dāng)天用相同的比特幣地址充值和提現(xiàn)。

但是 Kirk 的身份，他的動(dòng)機(jī)以及他是否與其他任何人分享過他對(duì) Twitter 的訪問權(quán)限，依舊成謎。我們也不知道 Kirk 訪問拜登、馬斯克等人的賬戶權(quán)限到底有多大，是否可以訪問更多特權(quán)信息，比如他們?cè)?Twitter 上的私人對(duì)話。

昵稱叫 "lol" 的黑客和另一個(gè)與他一起工作的人（昵稱 "ever so anxious"）說，他們想聊聊自己和 Kirk 一起做的事情，來證明他們只是在當(dāng)天早些時(shí)候協(xié)助購(gòu)買和控制鮮為人知的 Twitter 賬戶。下午 3 點(diǎn)半左右，Kirk 發(fā)起更聲勢(shì)浩大的攻擊時(shí)，他們沒有繼續(xù)參與。

" 我只是想把我自己的故事告訴你們，因?yàn)槲矣X得你可以為我和‘ ever so anxious ’澄清一些事實(shí)，""lol" 在 Discord 上說道。他還分享了自己跟 Kirk 的所有聊天記錄，并證明他的確是那些與 Kirk 有過交易的加密貨幣賬戶的所有者。

"lol" 沒有透露自己的真實(shí)身份，但他說，自己住在西海岸，差不多二十多歲。"ever so anxious" 說自己 19 歲，跟母親住在英格蘭南部。

此次黑客攻擊的調(diào)查人員說，黑客提供的細(xì)節(jié)與他們目前掌握的線索相吻合，包括 Kirk 在當(dāng)天晚些時(shí)候參與了大型黑客攻擊，并在周三早些時(shí)候發(fā)動(dòng)一些小規(guī)模攻擊。

通過加州一名安全研究人員哈西卜 · 阿萬(wàn)（Haseeb Awan）的介紹，記者與黑客取得最初聯(lián)系。阿萬(wàn)說，他跟黑客們有聯(lián)系是因?yàn)椋渲胁簧俸诳椭霸槍?duì)過他和他以前擁有過的一家比特幣相關(guān)的公司。他們也試圖攻擊他現(xiàn)在的公司 Efani（一家安全電話服務(wù)商），但沒有得逞。

周三之前，這個(gè)叫 "Kirk" 的人在黑客圈里還不怎么出名。他在 7 月 7 日才剛剛創(chuàng)建了 Discord 賬戶。

但是 "lol" 和 "ever so anxious" 在 OGusers.com 網(wǎng)站上已經(jīng)小有名氣。安全專家說，黑客們一直在這個(gè)網(wǎng)站上購(gòu)買和出售有價(jià)值的社交媒體昵稱。

對(duì)于游戲玩家、Twitter 用戶和黑客，所謂的 O.G。用戶名——通常是一個(gè)簡(jiǎn)短的詞或數(shù)字——非常搶手。這些獨(dú)特的昵稱通常被新在線平臺(tái)的早期用戶搶注。后來加入平臺(tái)的用戶因?yàn)榇瓜堰@些 O.G。用戶名，往往愿意花重金請(qǐng)黑客把用戶名從原主人手中搶過來。

周二晚，Kirk 先是聯(lián)系上 "lol"，然后又在周三早些時(shí)候聯(lián)系了 "ever so anxious"，問他們是否愿意成為自己的中間人，在他們小有名氣的在線黑市出售 Twitter 賬戶。他們可以從每筆交易中拿到分成。

在首批交易中，"lol" 促成了一筆 1500 美元的交易，用比特幣支付，這個(gè)人想購(gòu)買 "@y" 這個(gè) Twitter 用戶名。比特幣交易的公共分類賬顯示，收錢的那個(gè)比特幣錢包地址，與 Kirk 隨后在攻擊 Twitter 認(rèn)證賬戶當(dāng)天用來收錢的地址一致。

該團(tuán)伙在 OGusers.con 上發(fā)布了一則廣告，出售 Twitter 昵稱，支付方式為比特幣。"ever so anxious" 買下了他一直想要的 @anxious 這個(gè)昵稱。（他的個(gè)人信息仍顯示在該停用賬戶首頁(yè)。）

" 我就是覺得擁有其他人羨慕的用戶名，非常了不起，""ever so anxious" 說。

那天早晨，越來越多顧客聞?dòng)嵍鴣?，Kirk 的開價(jià)也一路水漲船高。他還展示了自己訪問 Twitter 系統(tǒng)的權(quán)限。他可以立即修改任何用戶名的最基本安全設(shè)置，還發(fā)布 Twitter 內(nèi)部控制面板的截圖，來證明自己確實(shí)控制了那些待售賬戶。

最后，他們賣掉的賬戶包括 @dark、@w、@l、@50 和 @vague 等等。

他們的顧客之一是另一個(gè)在倒賣用戶名圈子里較為出名的黑客。這個(gè)人叫 "PlugWalkJoe"。在安全記者布萊恩 · 克雷布斯（Brian Krebs）周四發(fā)布的文章里，PlugWalkJoe 是主角。克雷布斯稱，PlugWalkJoe 是 Twitter 黑客攻擊事件中的主要人物。

但是 Discord 的日志顯示，PlugWalkJoe 僅僅是從 "ever so anxious" 那里購(gòu)買了用戶名為 @6 的 Twitter 賬戶，稍稍個(gè)性化設(shè)置后，再?zèng)]有參與其中。PlugWalkJoe，自稱真實(shí)姓名為約瑟夫 · 奧康納（Joseph O ’ Connor），在采訪中，他說，事件發(fā)生時(shí)，他正在西班牙自己家附近。

奧康納自稱是自己是英國(guó)人，21 歲。他說：" 我不在乎。他們可以來抓我。不過我什么都沒做，我會(huì)嘲笑他們。"

奧康納還說，其他黑客告訴他，Kirk 黑入了 Twitter 的內(nèi)部 Slack 消息頻道，然后看到他們發(fā)布在那里的憑證，還看到了給他訪問 Twitter 服務(wù)器權(quán)限的某一個(gè)服務(wù)。調(diào)查該事件的調(diào)查人員說，這和他們目前了解到的情況一致。一名 Twitter 發(fā)言人拒絕發(fā)表評(píng)論。

"lol" 和 "ever so anxious" 參與的交易全都發(fā)生在大規(guī)模攻擊發(fā)生之前。但是下午 3 點(diǎn)半剛過，大型加密貨幣公司如 Coinbase 等發(fā)布推文，呼吁大家向 cryptoforhealth.com 捐贈(zèng)比特幣。

Kirk 在控制了 Coinbase 的 Twitter 賬戶后，立馬在 Discord 上告訴 "lol" 說，" 我們剛剛拿下了 cb。"（cb 即 Coinbase。）

三名調(diào)查人員說，比特幣交易公共分類賬顯示，為建立 cryptoforhealth.com 付款的比特幣錢包也是 Kirk 當(dāng)天早晨一直在使用的比特幣錢包。

周三早晨的其他通訊信息顯示，"ever so anxious" 說自己得補(bǔ)會(huì)覺，因?yàn)樗谟⒏裉m，時(shí)間已經(jīng)很晚了。大規(guī)模攻擊發(fā)動(dòng)前夕，他給女友發(fā)了一條短信 " 睡覺時(shí)間 "，然后就從 Discord 上下線了。

但是Kirk 繼續(xù)把動(dòng)靜越搞越大，控制名人坎耶 · 韋斯特和科技巨頭杰夫 · 貝索斯等人的賬戶發(fā)布信息稱：把比特幣發(fā)送到指定賬戶，你就會(huì)收到雙倍的回報(bào)。

下午 6 點(diǎn)剛過，Twitter 似乎控制了局面，詐騙消息消停了。但該公司不得不中止大量用戶的訪問權(quán)限。幾天過去了，Twitter 仍在梳理整個(gè)事件。

Twitter 在一篇博客文章中說，黑客攻擊了 130 個(gè)賬戶，并獲得了其中 45 個(gè)賬戶的訪問權(quán)限，同時(shí)借這 45 個(gè)賬戶發(fā)送垃圾信息。該公司稱，他們可以從其中 8 個(gè)賬戶下載數(shù)據(jù)。

" 我們很快意識(shí)到我們對(duì)使用我們服務(wù)的用戶以及整個(gè)社會(huì)負(fù)有責(zé)任，" 文章寫道，" 我們很尷尬，也很失望，最重要的是，我們十分抱歉。"

在英國(guó)，當(dāng) "ever so anxious" 一覺醒來看到發(fā)生的一切后，他給同伴 "lol" 發(fā)了一條非常失望的信息。

" 我真是又生氣又難過。他才賺了 20 個(gè)比特幣，" 他說，指的是 Kirk 從騙局中一共才獲利 20 個(gè)比特幣，價(jià)值約 1.8 萬(wàn)美元。

Kirk，無論他的真實(shí)身份是什么，再也沒有回復(fù)他的中間人，從此人間蒸發(fā)。