Twitter CEO 多西的 Twitter 帳號被駭，駭客只運用簡單的 SIM 盜換技術就搞定

8 月 30 日，Twitter 創辦人兼執行長多西（Jack Dorsey）的官方 Twitter 帳號遭駭客攻擊，他的 Twitter 充斥種族歧視字眼、反猶太言論和具攻擊性的內容，震驚了他的粉絲。這次駭客攻擊似乎來自上週攻擊 YouTube 名人 Twitter 帳號的同一組織，受攻擊名人包括美妝影片部落客詹姆士‧查理斯（James Charles）、美國網紅始祖謝恩‧多森（Shane Dawson）及喜劇演員金巴赫（King Bach）。

30 日下午，Twitter 大家長多西的 420 萬 Twitter 追隨者收到令人不快的驚嚇推文。一群網路破壞者獲得帳號的存取權限，並使用權限為他們團隊的 Discord 語音頻道爆發一系列令人反感的訊息和外掛程式。

15 分鐘內，帳號重新受到控制，而攻擊團隊被 Discord 禁用，但事件提醒人們，即使是最知名的帳號也可能有嚴重的安全漏洞，以及電話身分驗證的不安全性。

駭客是透過 Twitter 的文字轉推文（text-to-tweet）服務駭入帳號，而文字轉推文服務目前由 Twitter 收購的 Cloudhopper 負責營運。使用 Cloudhopper，Twitter 使用者就可透過將簡訊經由一組短碼數字（通常是 40404）發推。這對簡易型手機（例如沒觸控螢幕的功能手機）來說是很有用的技巧，或使用者無法存取 Twitter 應用程式時。

此系統只需要將電話號碼連結到 Twitter 帳號，這點大多數使用者早已基於不同的安全理由這麼做了。因此，只要控制你的電話號碼，通常就足以用你的帳號發推，且大多數用戶並不知情。

駭客用的是資安界早已熟悉的攻擊手法，之前多西帳號就被駭過

事實證明，控制多西的電話號碼並不像你想像的難。根據 Twitter 官方聲明，供應商的「安全監管」讓駭客獲得控制權。一般來說，這種攻擊被稱為 SIM 卡入侵攻擊（SIM Hacking），基本上就是說服電信商將多西的電話號碼分配給駭客控制的新手機。

這並不是新技術，儘管更常用來竊取比特幣（Bitcoin）或高價值通用所有社交平台的 Instagram 統一帳號（IG handle）。通常，這就和輸入洩漏的密碼一樣簡單。你可以透過在電信商帳號新增個人識別碼（PIN）或使用假電話號碼來註冊 Twitter 等網路帳號來保護自己，但這些技術對一般使用者來說要求太高了。因此，SIM 卡盜換已成為線上麻煩製造者最喜愛的技術之一，正如我們今天發現的，氾濫程度比你想像更高。

任何讓用戶更容易發推的系統，也會讓駭客更容易控制帳號。2016 年，多西也遭遇類似攻擊，充分利用授權的協力廠商外掛程式，這些外掛程式經常開發中止被棄用，但仍保留可發推至帳號的許可權。隨著 SIM 卡盜換技術被廣泛理解，這種技術不那麼突出，但偷渡式（Drive-by）惡意攻擊的基本目標並沒有太大改變。

儘管如此，這個事件著實令 Twitter 顏面無光，原因不僅在於正急於奪回 CEO 帳號的控制權，畢竟整個資安界多年來早就知道 SIM 卡盜換攻擊的手法，且多西帳號也曾遭駭入。未能確保執行長帳號控制安全的簡單疏忽，對 Twitter 無異是重大失誤，影響遠不只幾分鐘的混亂而已。希望 Twitter 能從這次事件汲取教訓，優先加強安全措施，甚至可將 Twitter 的簡訊驗證機制移除。

• The frighteningly simple technique that hijacked Jack Dorsey’s Twitter account

• Hackers cracked Jack Dorsey's Twitter account using a very simple technique

（首圖來源：cellanr [CC BY-SA 2.0], via Wikimedia Commons）