當?shù)貢r間8月30日下午，有追隨者發(fā)現(xiàn),，擁有 420 萬粉絲的Twitter（推特） CEO 杰克·多爾西（Jack Dorsey）的個人推特賬號疑似被黑,，這些黑客獲得了該帳戶的訪問權(quán)限，在Dorsey賬號中發(fā)布種族辱罵\反猶太主義等敏感信息,。這些令人反感的推文上傳了大約 10 多分鐘,，然后被刪除,。

圖｜推特 CEO Jack Dorsey（來源：9to5Mac）

在黑客攻擊后大約一個半小時,，推特官方發(fā)布了相關(guān)消息,，稱 “Dorsey 的賬戶現(xiàn)在已經(jīng)安全，并且沒有任何跡象表明 Twitter 的系統(tǒng)已遭到入侵,?！?br>
“在移動提供商的安全監(jiān)督下，與該帳戶相關(guān)的電話號碼遭到了損害,，”推特官方@TwitterComms 在當晚的一份聲明中表示,，“允許未經(jīng)授權(quán)的人通過電話號碼的短信撰寫和發(fā)送推文，這個問題現(xiàn)在已經(jīng)解決了,?！?br>
與此同時，推特官方拒絕透露移動服務(wù)提供商的名稱,，也并未詳細說明這次黑客入侵的詳細過程和解決方案,。

但是外媒報道引述知情人士表示，由于黑客利用 Dorsey 賬戶轉(zhuǎn)發(fā)與“Chuckling Squad”相關(guān)的推文,，并且 Dorsey 賬戶中發(fā)布的不良信息來源均顯示 Cloudhopper,，其認為入侵方式可能和推特早前收購的一個叫做“Cloudhopper”的 SMS 平臺有相關(guān)聯(lián)系，也就是說,，黑客是通過這一平臺入侵 Dorsey 推特賬戶的,。

關(guān)于黑客入侵 Dorsey 推特賬戶的流程，科技網(wǎng)站 The Verge 對此進行詳細的報道,。首先,，黑客會通過推特的文本進入到推特的服務(wù)和發(fā)布，有點類似 IFTTT 那種自動化發(fā)布形式,，使用 Cloudhopper,，黑客通過注冊電話鏈接推特賬戶等方式，將消息發(fā)送到短消息號碼（通常為 40404）來發(fā)布推文,，系統(tǒng)只需要確認這個賬戶和電話號碼綁定是同一個就可以,，而黑客利用電話號碼可以轉(zhuǎn)移的漏洞，控制對應(yīng)的電話號碼,，將不良的推文信息發(fā)布到他（Dorsey）的賬戶,。

其實這個技術(shù)并不高超，甚至可以說是簡單至極,。幾年前,，微博也開通短信發(fā)布微博內(nèi)容的相關(guān)服務(wù)，通過運營商的方式,，免費發(fā)布短信內(nèi)容到微博上,，只需要相關(guān)連接即可，對于網(wǎng)絡(luò)極差或者是非智能機的用戶來說，這是發(fā)布社交信息非常有用的技巧之一,。

圖｜推特官方發(fā)布的警示消息（來源：推特官方）

事實也是如此,，控制 Dorsey 的電話號碼并不像你想象的那么難。根據(jù)推特官方早前發(fā)布聲明表示,，運營提供商安全意識薄弱是這一次黑客入侵的原因之一,，這種入侵方式也被稱為 SIM 黑客攻擊，基本上就是說服運營商,，或者是通過入侵運營商方式,，將 Dorsey 的電話號碼和短信收發(fā)轉(zhuǎn)移到黑客控制的新手機上，而這種形式更常被用來竊取比特幣或者是 Instagram 廣告中,，這種入侵攻擊技術(shù)既簡單,，又可怕。

對于更多的普通人來說,，這種防御手段一般就是在運營商賬戶中添加 PIN 碼或者是通過虛擬電話號碼注冊推特,、Facebook 等網(wǎng)絡(luò)賬戶等手段來保護自己。但是,，這些方法并不是十分有效,，畢竟，黑客比你想象的要可怕很多,，正如 Dorsey 所遇到的那樣,，這種黑客入侵的工作頻率非常高。

而且,，Dorsey 的推特賬戶不是第一次受到此類攻擊,。2016 年，黑客利用了推特授權(quán)的第三方應(yīng)用插件進入,，向 Dorsey 等賬戶發(fā)送推文發(fā)布許可,。當時，推特方面采取了鎖定方式暫停了相關(guān)賬號的發(fā)布工作,。隨著 SIM 轉(zhuǎn)移和交換技術(shù)的發(fā)展,，之前的技術(shù)變得更古老很多，但黑客最終的目的,，也就是破壞對應(yīng)目標推特賬戶的目標基本沒有改變,。

盡管推特官方及時制止了黑客的行為，但這一事件讓推特公司感到尷尬,，不僅僅是黑客入侵其公司首席執(zhí)行官賬戶,，更是因為安全事件讓推特敲響警鐘，普通網(wǎng)民對于推特平臺安全性的質(zhì)疑聲甚囂塵上,，對于推特公司來說,，這是一次重大失敗,，其影響超出以往。

The Verge 評價稱,，希望推特能夠從該事件中吸取教訓(xùn),，并優(yōu)先考慮更強的安全性，甚至需要將推特賬號驗證從短信單一性轉(zhuǎn)移,，但考慮到該公司最近的業(yè)績記錄和內(nèi)部調(diào)整,，用戶仍需要屏息以待推特官方進一步的保護措施,。



參考：
https://www./2019/8/31/20841448/jack-dorsey-twitter-hacked-account-sim-swapping
https://www./2019/8/30/20841288/jack-dorsey-ceo-twitter-account-hacked-chuckle-gang-shane-dawson-james-charles
https://www./articles/twitter-says-ceo-jack-dorseys-twitter-account-was-compromised-11567197298
https://www./how-twitter-ceo-jack-dorsey-account-hacked-chuckling-squad-cloudhopper-2019-8
https://www./2016/7/9/12134754/ceo-jack-dorseys-twitter-account-hack