你遇到過來自Twitter的黑客攻擊嗎?
Croll入侵Twitter
Hacker Croll首先是建立一個目標公司的簡歷,Twitter就是這樣淪為他的攻擊目標。基本上說,他編制了一個員工,公司崗位和他們相關電子郵件地址的列表。在基本信息匯總完畢后,Croll為他的每一位員工用他們的生日,寵物姓名等信息建立了一個小型檔案。這些檔案建立完畢后,他只是去挨個去敲門直到有人相信他。
當他為Twitter員工的私人Gmail郵箱實施密碼恢復流程后,問題就這樣發生了。Croll發現與這名員工Gmail關聯在一起的次級帳戶是一個Hotmail郵箱。問題是Hotmial郵箱由于始終處于靜止狀態已經被刪除和重復再用--這也是Hotail長期實行的政策。如今,Hacker Croll所有要做的事情就是為他自己重新注冊Hotmail郵箱,返回然后恢復Gmail密碼,然后Gmail會將密碼重設信息直接發送到犯罪分子重新激活的郵箱當中。但是事情到此并沒有結束。
Gmail會要求Hacker Croll重新設置Twitter網站上員工私人電子郵箱的密碼,然后Hacker Croll就這樣做了。但是如今原來的用戶被他們自己的郵箱賬號拒之門外,郵箱被標注上明顯的紅色小旗作為警告。因此Croll所做的就是搜索Gmail本身的郵箱賬號,查找此人其他活動服務的密碼。然后他鍵入他所發現的常用密碼,看看郵箱主人是否在正常使用他們的郵箱。目前Croll從屏幕背后訪問Gmail郵箱,還能訪問未經發現的信息。為了讓使用起來更加方便,Twitter的員工通常在他們的業務郵箱和私人郵箱中使用同樣的登錄密碼,因此黑客就可以輕而易舉的入侵這兩個郵箱。
你會受到同樣的攻擊嗎?
令人擔憂的是Croll使用的方法可能在每個人身上都會發生。筆者上周檢查了自己的谷歌郵箱,發現自己也暴露在Twitter員工同樣的安全風險之下。
筆者很久以前就注冊了Gmail賬號,已經忘記了所有二級電子郵件地址的信息。就像Twitter的員工一樣,和Gmail關聯的二級電子郵件處于休眠狀態,可能會被任何人重新注冊。一切都改變了。筆者在自己的電子郵件中搜索用過的密碼,困惑的是反饋回來很多結果。使用你最常用的密碼在你的電子郵箱中進行搜索,看看結果會是什么。你可能會感到十分意外。但是黑客可能會有各種方法來獲取你的信息。
你曾經在Twitter這樣的公共服務網站上收到過生日賀卡嗎?你曾經向別人透露過電話號碼或者任何其他信息嗎?你的社交網站上有哪些信息?你的MySpace和Facebook帳戶關閉了嗎?或者任何人都可以在這些社交網站上通過搜索找到你嗎?你的Facebook網頁上有你的生日,你曾經上學的學校和寵物的名字嗎?你母親的娘家姓名(這是一個常見的安全提問)會通過你的社交網站帳戶被發現嗎?你使用的其他服務都是什么?如果你認為比人發現這些信息的可能性不大,那么在你所謂的"Deep Web"搜索引擎(比如說Pipl或Spokeo)上搜索你自己的信息,看看會發生什么。你可能會發現你自己都完全忘記的網上賬戶。
類似的電子郵件安全
其他的問題是多數電子郵件服務使用的都是類似的密碼恢復方法。Hotmail和Gmial幾乎完全一樣。雅虎的郵箱甚至更加簡單,因為如果你告訴雅虎你無法訪問你的二級電子郵件賬號,你只需回答一個秘密問題即可。
在筆者對雅虎電子郵箱恢復網頁的測試中,筆者發現似乎你可以有無限次嘗試的機會去猜測雅虎電子郵件提問的秘密問題的答案。AOL Mail也好不到哪去,因為你可以選擇鍵入你的二級電子郵件或者鍵入你確切的生日外加文件的Zip代碼即可。ZIp代碼對于一些人可能很難攻破,但是并非完全沒有可能。如果你發現你暴露在Twitter這樣的漏洞風險之下,將把它當做是你的叫醒電話吧。你必須定期檢查你的各種電子郵箱的安全設置,以便這些安全信息還在你的控制之列,因為這些信息可能是你在很久以前輸入的,很容易被遺忘。
要注意與你初始電子郵件地址關聯的二級電子郵件帳戶;對于安全提問設置一個只有你知道的答案;定期更換你的密碼,無論是自行更改還是通過GRC或者Strong Password Generator這樣的工具來隨機產生密碼。不要只使用一到兩個密碼,使用Clipperz, KeePass或者Yubic這樣的密碼管理器來記住你替換的密碼信息。但是或許最重要的是,在你自己的電子郵箱中搜索你使用的最常見的密碼,然后刪除這些信息。如果最糟糕的事情發生了,你的電子郵件帳戶正處在危險之中,你很對曾經做過的一切感到高興。
【編輯推薦】
