Twitter集體帳號被盜 幕後駭客去年已入侵執行長帳號

美國資安調查記者 Brian Krebs 整理了 Twitter 集體帳號被盜事件的時間軸。

上週三推特 （Twitter）爆發集體盜帳號事件，週末時 Twitter 也發布官方聲明，表示駭客是透過「社交工程」（social engineering scheme）模式取得內部員工信任、獲得系統高級權限後，再入侵 Twitter 內部系統。

而美國資安調查記者 Brian Krebs 在個人網站 Krebs on Security 指出，駭客除了透過社交工程取得他人信任，也藉由「SIM 卡調換」（SIM swapping）攻擊模式成功矇騙電信業者，並將鎖定的目標電話號碼轉移到駭客所控制的 SIM 卡裡。

這起事件的時間軸如下：

1. Twitter 帳號集體被盜的前幾天

在駭客們的 SIM 卡調換社群裡，有位名稱為 Chaewon 的使用者發文說，自己可以更改任何與 Twitter 帳號綁定的電子郵件，每次價格 250 美元，代表當時已經有相關交易在黑市流竄。

2. 上週三（帳號集體被盜當天）事件爆發的前幾個小時

因為駭客青睞某些擁有短名稱的社群帳號，例如：@B 或 @joe 等，這種帳號在 SIM 卡調換攻擊手法的圈子裡進行地下交易時可以賣到更高價錢。而這時駭客已經入侵了某些短名稱的社群帳號，其中有一個被入侵的帳號就是「@6」。

@6 帳號是由曾駭入《紐約時報》而被 FBI 盯上的知名駭客 Adrian Lamo 所擁有，但他在 2018 年過世後，該帳號就改由其朋友 Lucky225 所管理。

Lucky225 說，在美東時間上週三下午 2 點前，他收到 @6 帳號的密碼重置確認代碼。雖然他並沒有主動修改密碼，但因為駭客可以修改 @6 帳號所綁定的電子郵件，因此這個一次性的身份驗證代碼除了發送到他綁定的裝置裡，也發送到駭客後來新增的電子郵件地址。

3. 前知名駭客的 Twitter 被盜之後

這時候，有一個 Twitter 帳號 @shinji 發布一則內部擷圖，可以看到他那時剛新增一條「關注 @6 帳號」的動態（現在帳號 @shinji 已經被 Twitter 終止）。

從網際網路檔案館（Internet Archive）可以查到，這位 shinji 聲稱擁有兩個 Instagram 短帳號「joe」和「dead」的所有權。

而根據美國最大行動營運業者之一的資安部門員工透露，這兩個 Instagram 帳號「joe」和「dead」都與由暱稱為 PlugWalkJoe 所建立的惡名昭彰 SIM 卡交換器綁定。

4. 找到 PlugWalkJoe，21 歲大學生

PlugWalkJoe 是誰呢？調查員認為，他就是 2019 年時曾經以 SIM 卡調換攻擊手法入侵 Twitter 執行長 Jack Dorsey 帳號的駭客之一；而在現實世界裡， PlugWalkJoe 的本名其實是 Joseph James O’Connor。

Joseph James O’Connor 年僅 21 歲，來自英國利物浦，前陣子在西班牙讀大學，但因為 COVID-19 疫情影響導致短期內無法回家。調查員認為，他就是該起事件幕後人物之一。

不過評論倒是蠻樂觀，認為得感激老天，因為這起事件只是比特幣詐騙，駭客並沒有把攻擊目標轉到更嚴重的領域，例如：選舉、股票市場，甚至是盜用世界領導人帳號，再發布煽動性假貼文來引起戰爭等等。

《本文作者 Heemie ，原文刊登於合作媒體INSIDE，聯合新聞網獲授權轉載。》