Croll入侵Twitter

Hacker Croll首先是建立一個(gè)目標(biāo)公司的簡(jiǎn)歷，Twitter就是這樣淪為他的攻擊目標(biāo)。他編制了一個(gè)員工公司崗位和他們相關(guān)電子郵件地址的列表。在基本信息匯總完畢后，Croll為他的每一位員工用他們的生日、寵物姓名等信息建立了一個(gè)小型檔案。這些檔案建立完畢后，他只是挨個(gè)去敲門，直到有人相信他。當(dāng)他為Twitter員工的私人Gmail郵箱實(shí)施密碼恢復(fù)流程后，問題就這樣發(fā)生了。Croll發(fā)現(xiàn)與這名員工Gmail關(guān)聯(lián)在一起的次級(jí)賬戶是一個(gè)Hotmail郵箱。問題是Hotmial郵箱由于始終處于靜止?fàn)顟B(tài)，已經(jīng)被刪除和重復(fù)再用——這也是Hotmail長(zhǎng)期實(shí)行的政策。如今，Hacker Croll所有要做的事情就是為他自己重新注冊(cè)Hotmail郵箱，返回，然后恢復(fù)Gmail密碼，Gmail會(huì)將密碼重設(shè)信息直接發(fā)送到犯罪分子重新激活的郵箱當(dāng)中，但是事情到此并沒有結(jié)束。Gmail會(huì)要求Hacker Croll重新設(shè)置Twitter網(wǎng)站上員工的私人電子郵箱密碼，然后Hacker Croll就按照該程序執(zhí)行。但是如今原來的用戶被他們自己的郵箱賬號(hào)拒之門外，郵箱被標(biāo)注上明顯的紅色小旗作為警告。因此Croll所做的就是搜索Gmail本身的郵箱賬號(hào)，查找此人其他活動(dòng)服務(wù)的密碼。然后鍵入他所發(fā)現(xiàn)的常用密碼，看看郵箱主人是否在正常使用他們的郵箱。目前Croll從屏幕背后訪問Gmail郵箱，還能訪問未經(jīng)發(fā)現(xiàn)的信息。為了讓使用起來更加方便，Twitter的員工通常在他們的業(yè)務(wù)郵箱和私人郵箱中使用同樣的登錄密碼，因此黑客就可以輕而易舉地入侵這兩個(gè)郵箱。你會(huì)受到同樣的攻擊嗎?

令人擔(dān)憂的是Croll使用的方法可能在每個(gè)人身上都會(huì)發(fā)生。筆者檢查了自己的谷歌郵箱，發(fā)現(xiàn)自己也暴露在Twitter員工同樣的安全風(fēng)險(xiǎn)之下。筆者很久以前就注冊(cè)了Gmail賬號(hào)，已經(jīng)忘記了所有二級(jí)電子郵件地址的信息。就像Twitter的員工一樣，和Gmail關(guān)聯(lián)的二級(jí)電子郵件處于休眠狀態(tài)，可能會(huì)被任何人重新注冊(cè)。一切都改變了。筆者在自己的電子郵件中搜索用過的密碼，困惑的是反饋回來很多結(jié)果。使用你最常用的密碼在你的電子郵箱中進(jìn)行搜索，看看結(jié)果會(huì)是什么。你可能會(huì)感到十分意外，但是黑客可能會(huì)有各種方法來獲取你的信息。你曾經(jīng)在Twitter這樣的公共服務(wù)網(wǎng)站上收到過生日賀卡嗎?你曾經(jīng)向別人透露過電話號(hào)碼或者任何其他信息嗎?你的社交網(wǎng)站上有哪些信息?你的MySpace和Facebook賬戶關(guān)閉了嗎?或者任何人都可以在這些社交網(wǎng)站上通過搜索找到你嗎?你的Facebook網(wǎng)頁上有你的生日、你曾經(jīng)上過的學(xué)校名稱嗎?你父母的姓名(這是一個(gè)常見的安全提問)會(huì)通過你的社交網(wǎng)站賬戶被發(fā)現(xiàn)嗎?你使用的其他服務(wù)都是什么?如果你認(rèn)為被人發(fā)現(xiàn)這些信息的可能性不大，那么在你所謂的\"Deep Web\"搜索引擎上搜索你自己的信息，看看會(huì)發(fā)生什么。你可能會(huì)發(fā)現(xiàn)連你自己都完全忘記的網(wǎng)上賬戶。

類似的電子郵件安全

多數(shù)電子郵件服務(wù)使用的都是類似的密碼恢復(fù)方法。Hotmail和Gmial幾乎完全一樣。雅虎的郵箱甚至更加簡(jiǎn)單，因?yàn)槿绻愀嬖V雅虎你無法訪問你的二級(jí)電子郵件賬號(hào)，你只需回答一個(gè)秘密問題即可。在筆者對(duì)雅虎電子郵箱恢復(fù)網(wǎng)頁的測(cè)試中，筆者發(fā)現(xiàn)似乎你可以有無數(shù)次嘗試的機(jī)會(huì)去猜測(cè)雅虎電子郵件提問的秘密問題的答案。AOL Mail也好不到哪去，因?yàn)槟憧梢赃x擇鍵入你的二級(jí)電子郵件或者鍵入你確切的生日外加文件的Zip代碼即可。Zip代碼對(duì)于一些人可能很難攻破，但是并非完全沒有可能。如果你發(fā)現(xiàn)你暴露在Twitter這樣的漏洞風(fēng)險(xiǎn)之下，就把它當(dāng)做是你的叫醒電話吧。你必須定期檢查你的各種電子郵箱的安全設(shè)置，以便這些安全信息還在你的控制之列，因?yàn)檫@些信息可能是你在很久以前輸入的，很容易被遺忘。要注意與你初始電子郵件地址關(guān)聯(lián)的二級(jí)電子郵件賬戶，對(duì)于安全提問設(shè)置一個(gè)只有你知道的答案，定期更換你的密碼，無論是自行更改還是通過GRC或者strong Password Generator這樣的工具來隨機(jī)產(chǎn)生密碼。不要只使用一到兩個(gè)密碼，使用Clip-perz、KeePass或者Yubic這樣的密碼管理器來記住你替換的密碼信息。但是最重要的是，在你自己的電子郵箱中搜索你使用的最常見的密碼，然后刪除這些信息。

來源：“安全在線”