美國司法部宣布,7月16日凌晨推特上爆發的駭客事件,已於上周五(7月31日)起訴年僅17歲的駭客與另外兩名共犯。在保釋聽證會上,兩造就策畫者是否可以使用「持有超過300萬美元價值的比特幣」作為保釋金進行激烈爭辯。截至撰稿時,結果尚未出爐。
(前情提要:推特大浩劫!歐巴馬 比爾蓋茲 馬斯克 拜登 Uber..等世界名人帳號遭駭,全發文推廣比特幣詐騙)
這應該是很多幣圈人難忘的一夜:台灣時間 7 月 16 日凌晨 3 點左右,推特上許多全球具影響力知名人士或官方帳戶同時被盜,駭客以該帳戶所有者的名義發布了有關比特幣的釣魚訊息:訊息內容聲稱將回饋價值超過 1,000 萬美金的比特幣給社會,只要用戶將比特幣打入指定地址,便會回贈兩倍金額的比特幣。
此次駭客事件的規模前所未見,被駭的帳戶包含美國前總統歐巴馬、比爾蓋茲、伊隆馬斯克、亞馬遜創辦人貝佐斯、美國民主黨總統候選人拜登、蘋果電腦 Apple、優步 Uber … 等全球最具聲望及影響力的「推特官方認證帳號」。然而根據區塊鏈瀏覽器 blockchain.com 的數據,最後駭客僅獲得約 12.8 顆比特幣(約 11.6 萬美金)。
上週五( 7 月 31 日),美國司法部在一篇聲明中宣布已正式起訴年僅 17 歲的策畫者 Graham Ivan Clark 與另外兩名共犯 Nima Fazeli、Mason Sheppard。
Clark 被起訴 30 項重罪,包含出於詐欺目的使用他人訊息、組織詐欺行動等,但因其尚未成年,美國司法部已根據《聯邦青少年犯罪法案》將 Clark 的訴訟移交至佛羅里達州坦帕市(Tampa)檢察官。
延伸閱讀:鏈上追蹤|推特駭客動手了!開啟洗錢程序,轉移 22% 贓款到比特幣混幣器
延伸閱讀:推特之亂|FBI 出手調查!駭客在幣安, Coinbase, BitGo 留下蹤跡或能鎖定身份
這些犯罪嫌疑人盜用了知名人士的帳戶,但這些名人並不是主要受害者。這一詐騙行為的目標是騙取全國各地的普通人的財產,包括佛羅里達州居民。這種大規模的詐欺行為是精心策畫後發生在我們這裡的,我們絕不會容忍這種情況發生。
希爾斯伯勒州檢察官-安德魯.沃倫道。
Twitter 如何應對
Twitter 的安全漏洞讓年僅 17 歲的駭客成功入侵眾多知名人士及產業龍頭的官方帳戶,可謂近幾年最嚴重的攻擊事件。此次事件不單單影響受騙用戶的資產、遭駭人士的名譽,更可能直接動搖民眾對此類大人物用以公眾交流平台的信任。
事件發生的幾個小時內,Twitter 迅速刪除了釣魚貼文、關閉受影響的帳戶以進行調查,並限制了其幾個小時內的發文權限。
針對駭客是透過控制內部少數員工、藉由「內部管理工具」來侵入知名人士帳戶,Twitter 表示已經採取「重要步驟」來限制對內部系統和工具的使用,並推文感謝執法單位的迅速行動。
我們感謝執法部門在此次調查中所採取的迅速行動,並將隨著案件的進展繼續合作。就我們而言,我們致力於透明化並定期提供更新。
We appreciate the swift actions of law enforcement in this investigation and will continue to cooperate as the case progresses. For our part, we are focused on being transparent and providing updates regularly.
For the latest, see here 👇 https://t.co/kHty8TXaly
— Twitter Comms (@TwitterComms) July 31, 2020
8 月 1 日,Twitter 更新了自身部落格的文章,概述目前對此攻擊行為的了解,並承諾將加快現有的安全工作流程以重新贏得大眾的信任:
發生於 2020 年 7 月 15 日的攻擊事件,是針對少數員工、透過電話魚叉式網路進行釣魚攻擊。要成功進行,攻擊者必須獲得對我們內部網路及特定員工的訪問權限,才能拿到他們對我們內部工具的訪問權限。並非所有最初被聯繫到的員工都有權使用帳戶管理工具,但攻擊者使用其憑據訪問我們的內部系統並獲取有關我們內部流程的訊息,這些知識使他們能夠鎖定確實可以使用帳戶支持工具的其他員工。攻擊者使用員工的憑據訪問這些工具,從而針對 130 個 Twitter 帳戶進行攻擊,最終從 45 個發推文,訪問 DM 收件箱 36 個,並下載了 7 個 Twitter 數據。
我們將加快一些現有安全工作流程並改進我們的工具。我們還在改進方法,以檢測和防止對內部系統的不當訪問,並優先處理團隊中的安全工作。
延伸閱讀:推特真相報告|官方證實:「社交工程」駭客手法得手,130 個名人 Twitter 受害
結語
全球數百萬名用戶不僅用 Twitter 發送推文,也通過私人訊息與他人進行私下通訊。Twitter 雖沒有透露駭客是否能夠拿到私人訊息的相關資料,但不可否認,Twitter 在恢復人們信心方面正面臨艱鉅的挑戰。
大眾也應該從此事件重新審視自己的資安問題。未來將有更多功能將在線上實現,意味著將有更多個人資料、蹤跡可在網路上被追蹤。如何正確保護個人或用戶的資料安全,將是每個企業與網路使用者都該致力研究的課題。
延伸閱讀:新手必讀|如何保護你的數位資產?個人的安全觀念與習慣養成
📍相關報導📍
金管會發布第三次「虛擬貨幣風險警示」: 台灣詐騙案猖狂、龍頭加密企業集體訴訟
區塊鏈資安月報:7月共發生安全事件32起,虛擬貨幣詐騙案件氾濫!
蘋果公司創辦人|沃茲尼克提告Youtube:放縱比特幣騙局,默許詐騙投放廣告牟利
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
