自家CEO帳號也被盜!Twitter宣佈暫停簡訊推文功能
Twitter宣佈暫時停止透過簡訊發文的功能,原因就是日前執行長多西(Jack Dorsey)的帳號被駭客入侵攻擊,很明顯該功能存在很大的安全漏洞。
駭客利用文字轉推文(text-to-tweet)服務駭入多西的帳號,而文字轉推文服務目前由 Twitter收購的Cloudhopper 負責營運。使用Cloudhopper,Twitter用戶就可透過將簡訊經由一組短碼數字(通常是 40404)發文。
此係統只需要將電話號碼連結到Twitter帳號,因此只要控制某人的電話號碼,通常就能侵入帳號發文,但大部分的人並不知情。
根據 Twitter 官方聲明,供應商的「安全監管」讓駭客獲得控制權。一般來說,這種攻擊被稱爲 SIM 卡入侵攻擊(SIM Hacking),基本上就是說服電信商將多西的電話號碼分配給駭客控制的新手機。
在大多數國家,簡訊發文功能可能會被關閉一段時間,但Twitter表示它很快就能再重新啓動,同時也將致力於發展新的長期策略。
We’re taking this step because of vulnerabilities that need to be addressed by mobile carriers and our reliance on having a linked phone number for two-factor authentication (we’re working on improving this).