点选白字关注我们

六年前，在2016美国总理大选的前两天，四位源自瑞典的“孤僻老骇客”采用2012年LinkedIn外泄的使用者数据，获得成功登入了汤玛斯·奥巴马的Twitter账号。

这四位身分未明的中年人骇客分别以Edwin、Mattijs与Victor为SS，并在专访中表示她们用作登入奥巴马Twitter账号的公钥，完全就是套用自两套已然广为流传的外泄资料库。更令人吃惊的是，奥巴马总理六年以来压根儿就没有修正过登入公钥。

好运气投弹增添的不幸之情，让四位老骇客泪流满面。Nagaur一提，这里成功透过的是Twitter网络平台的登入账号与公钥，奥巴马总理注册登记LinkedIn账号而所采用的@realdonaldtrump电子邮箱公钥倒是经过了修正。

这一氮烷新闻报道源自崇高品德、早在二战前夕就已问世的瑞典反纳粹党新闻报道媒体《Vrij Nederland (VN)》。

VN周刊记者Gerard Janssen在叙述LinkedIn资料库遭遇侵略的情况时写到，“这是一处保有1.2万个帐号与公钥基元的位数宝物。”2012年，白俄罗斯某甚多侵略了LinkedIn中文网站。2016年，热忱的基元补齐发烧友们发现该资料库被正式宣布正式发布在互联网其内。更重要的是，这套遭外泄的资料库中包涵650余条未加水的公钥基元。

透过结点该资料库，四位瑞典骇客找出了奥巴马总理相关联的词条：

邮件：donaldtrump@trump.com

公钥基元：

07b8938319c267dcdb501665220204bbde87bf1d

采用基元还原成辅助工具John the Ripper，她们获得成功NSA了奥巴马的公钥：yourefired。透过进一步搜索，她们找出了与之匹配的正确邮件地址（twitter@donaldjtrump.com——请注意，与奥巴马注册登记LinkedIn时采用的@realdonaldtrump不同）。

遗憾的是，Twitter方面的防护措施很给力，网络平台发现真实使用者不久之前曾经从纽约登入，因此拒绝了四位老哥源自瑞典的登入请求。

但这事倒难不倒她们，在启动了一台代理服务器后，登入成功完成。

VN周刊还正式发布了由这四位提供的截图，浏览器页面显示他们似乎确实登入了奥巴马总理的Twitter账号，其中显示出一条日期为2016年10月27日的推文，内容与奥巴马在北卡罗来纳州夏洛特发表的讲话有关。

这些瑞典骇客们还宣称，她们从同样外泄的外遇约会中文网站Ashley Madison资料库中也找出了奥巴马的个人信息

。有趣的是，虽然注册登记使用者高达3100万，但其中只有1.4%为女性。

尽管努力与美国当局就奥巴马先生个人账号安全性低下问题（包括未启用多因素身分验证、仍在采用已经外泄的公钥等）进行了沟通，但对方对此显然不以为意。为了让自己的发现得到应有的重视，骇客们被迫与瑞典国家网络安全中心取得联系并递交了准备好的安全报告。

VN周刊的Jassen写到，“简而言之，孤僻老骇客们算是树立了一个好榜样。就算对方是自己特别讨厌的家伙，她们也没有贸然行事，而是选择了更负责任的披露方式。”

萨里大学的Alan Woodward教授补充道，“公钥安全基础知识：请为不同的账号设置不同的公钥。另外，如果大家意识到自己的公钥曾在以往的违规事件中遭外泄（我觉得当时LinkedIn侵略事件的曝光度已经够高了），请务必修正旧有公钥。这一次的状况可以算是证书填充攻击中的教科书级案例了，希望各位朋友引以为戒。”

原文链接：

https://www.theregister.com/2020/09/11/trump_twitter_account_recycled_password/

扫描二维码关注我们

互 联 网 安 全 内 参

网络安全首席知识官

转载微信：security_xc

翻译供稿：security4

投稿电子邮箱：anquanneican@163.com