掌理着在世界上数亿个Twitter帐号公钥的Twitter CEO罗宾·什涅（Jack Dorsey）很大居然，他们的Twitter帐户居然也被黑了。

（图自：wsj）

此次的“嫌疑犯”仍然是这个名叫 “OurMine” 的四人骇客项目组。OurMine以后已经赢得成功黑过Facebook CEO丹尼尔·扎克伯格和Google CEO桑萨尔·皮奥马尔的Twitter帐户。

OurMine在补齐了什涅的Twitter帐号和公钥后，果不其然用他的帐号推了两个“绿色食品”的音频短片，接著又发了一句话：

Hey, its OurMine, we are testing your security.

（图自：twitter）

总之，这条文本被迅速删掉。但是，由于这些被面世来的音频都是源自于Vine（Twitter母公司的短音频应用领域），因此很有可能是什涅在Vine上采用了与Twitter完全相同的公钥，换句话说是其它有关的帐号被窃取，从而被OurMine指涉在Twitter上并赢得成功补齐。

为何又是Twitter ？

OurMine 项目组相继黑了四个关键信息技术人物形象的Twitter 帐号，除让人对 OurMine 的目地进行批评之外，还想知道为何她们的 Twitter 帐户会被窃取。

其原因或许很单纯：即使她们在相同的互联网帐号上采用了完全相同的公钥。

6月底出现的扎克伯格 Twitter 帐户失窃该事件，只但是其原因在于 OurMine 具体来说赢得了小扎在 LinkedIn 上的外泄统计数据，因此补齐了 SHA1身份验证过的公钥。接着骇客再借助这些统计数据，赢得成功步入到小扎的 Twitter。更让人瞠目结舌的是，小扎的公钥居然是“dadada”。

（图自nedio）

Google CEO 皮奥马尔的 Twitter 帐号被黑与之类似。OurMine 先通过 Quora 平台上的一个漏洞赢得了公钥；接着又通过 Quora 公钥在 Twitter 上试了一下，结果居然登录赢得成功。

至于什涅的，十有八九与也 Vine 有关。

除这些比较显眼的帐户被黑该事件，最近 Twitter 还有一次大规模的帐号外泄。

据报道，同样是在6月，有超过3200万 Twitter 用户的登录信息在“暗网”出售，包括用户名、邮箱地址和明文公钥等。但是据 Twitter 调查称，这些信息可能是以后一系列社交互联网被黑该事件所致，也有部分是恶意软件从用户那里收集到的统计数据。

爱范儿（微信 ID：ifanr）此前曾经报道，为的是保护这些出现在“暗网”上的帐号，Twitter 对出现在“暗网”上的帐户信息进行了核查并提前锁定，同时给有关用户发送了邮件通知。

（图自：appmobi）

但是在 Twitter 信息安全部门负责人 Michael Coates 看来，在相同网站采用完全相同公钥仍然是帐户安全风险的主要其原因。他说：

最近源自于部分网站的统计数据外泄，实际上已经对所有的网站造成了威胁。这些攻击者将用户名、邮箱、公钥等信息挖掘出来，接着在其它各大网站进行“撞库”尝试。因此这些在多个网站采用完全相同帐号公钥的用户帐户极易被骇客控制。

OurMine 到底是什么鬼？

凭借这几次夺人眼球的 Twitter 帐号控制，OurMine 在最近一两个月也算是出尽风头。那么 OurMine 到底是一个什么样的所在？

有一点可以确定的是，OurMine 黑掉别人的帐号公钥不是为的是威胁或恐吓，也看不到什么实际的利益。它不修改公钥，通常会在被黑的帐号上发表一个声明称是在测试帐号的安全，接着坐等声明被删，帐号被官方恢复。

OurMine 有一个以 .org 为域名后缀的网站，看起来似乎是一个非盈利组织。但是在打开网站后，却看到这样的页面：

（图自urMine）

单纯来说，它为个人和公司提供付费的帐户安全测试服务，价格从30美元到5000美元不等。如果不赢得成功的话，还可以退款。

这是赤裸裸的商业行为。

但是在《连线》杂志的一次线上匿名采访中，OurMine 的其中一员却坚持认为 OurMine 而已为的是警醒用户。他说：我们不需要钱，我们之因此提供安全服务，其原因在于很多用户需要它。我们不是黑帽骇客，我们是一个安全项目组。我们想告诉大家没有人是安全的。

当被问到是否有人购买网站上的安全服务的时候，这个匿名受访者称她们已经收到了18400美元，并提供了一张5000美元的订单截图。订单上写的是源自 Conversely 公司 和 TruthFinder 公司的支付。但是后来当《连线》向 Conversely 求证的时候，Conversely 却说根本没有这回事。

（图自urMine）

除上述服务，OurMine 的网站上还开辟出一个专门的板块来发布一些重点帐号被黑的消息，显得非常高调。那么，既然 OurMine 的目标是为的是提醒安全，那么为何不私下通知这些被黑的帐户呢？

这位匿名受访者回答说：她们忽略了我们，因此我们只能断定给她们看。我们没有做错。

题图源自：willowridgesecurity

（来源：爱范儿）

拓展阅读：

Twitter CEO 他们的Twitter帐户被黑了

Twitter联合创始人兼CEO罗宾多尔西的Twitter帐户本周末被骇客攻占。更更让人惊讶的是，包括罗宾多尔西在内，最近一段时间高信息技术主管社交媒体帐户被黑该事件的罪魁祸首都是同一个骇客OurMine。

周六美东时间凌晨2：50，OurMine赢得了罗宾多尔西 Twitter帐户控制权后，随即发帖表示： “嘿，这是OurMine，我们正在测试您的安全，请访问ourmine.org。”，并附带一个音频歌曲链接。同样的消息被反复贴了一遍又一遍，但帖子 迅速就被删掉，大约45分钟后，罗宾多尔西重新赢得了帐户控制权。

安全专家认为，骇客可能是通过黑掉罗宾多尔西其它社交媒体帐户，赢得了公钥，来尝试罗宾多尔西的Twitter帐户。显然它们采用了完全相同的公钥。如果一个公钥被多个社交媒体帐户共享，同时用户很长时间没有更新公钥，这就很容易让攻击者横行。（来源：cnbeta网站）

小扎Twitter帐号失窃 骇客公布了公钥：太单纯

据美国媒体报道，丹尼尔·扎克伯格的Twitter和Pinterest帐号周末被黑，此次攻击是在最近LinkedIn公钥大规模外泄导致扎克伯格登录信息曝光后。这暗示扎克伯格可能在多个网站采用完全相同的公钥，或者在他的LinkedIn登录证书外泄后他在其它网站设置的公钥很容易猜到。

扎克伯格的Facebook帐号未受影响。一个原先不知名的骇客组织Ourmine宣称对此事负责，该组织称，她们在LinkedIn公钥大外泄中发现扎克伯格的公钥是“dadada”。这些被黑的帐号快速修改了公钥。在声明中Facebook称：“Facebook的系统或帐号未被攻破，受影响的帐号都修改了公钥。”

数字身份认证公司Intecede首席执行官理查德·帕里斯称：“Facebook创始人丹尼尔·扎克伯格社交媒体帐号被黑的报道应该让我们所有人警惕。我们应该注意到，如果社交媒体的帐号不安全，他和他的项目组的知识及资源都可能外泄。事实上我们都应该愤怒——最近报告的帐号泄密似乎绝大部分都与外泄的用户名和公钥有关。”

他还表示：“一次次地断定，单纯的用户名和公钥组合是互联网安全的根本漏洞，但一般我们都是用这种组合来保护身份信息和统计数据。”SecureAuth的首席安全架构师史蒂芬·考克斯称，即使有了更好的双重验证也存有安全问题。他称：“丹尼尔·扎克伯格的Twitter和Pinterest帐号被黑显示，重复采用公钥和单纯的验证方式存有严重问题，这个消息可能对在线安全造成巨大冲击。”

他表示：“这也提醒我们，LinkedIn有手机验证码的双重验证不足以对付骇客。我们必须想出新的方法，抛弃传统的用户名和公钥甚至普通的双重验证。”（木秀林）

小易推荐

更多信息技术精彩有趣内容，欢迎关注网易新闻客户端-信息技术帧。

看新闻、读跟帖，在这里找到我们哦！