掌管著全世界數(shù)億個(gè)Twitter賬號(hào)密碼的Twitter CEO杰克·多西(Jack Dorsey)一定想不到，自己的Twitter賬戶(hù)竟然也被黑了。

　　

　　(圖自：wsj)

　　這次的“兇手”依然是那個(gè)名為 “OurMine” 的三人黑客團(tuán)隊(duì)。OurMine之前已經(jīng)成功黑過(guò)Facebook CEO馬克·扎克伯格和Google CEO桑達(dá)爾·皮扎伊的Twitter賬戶(hù)。

　　OurMine在破解了多西的Twitter賬號(hào)和密碼之后，先是用他的賬號(hào)推了幾個(gè)“無(wú)公害”的視頻片段，接著又發(fā)了一句話：

　　Hey, its OurMine, we are testing your security.

　　

　　(圖自：twitter)

　　當(dāng)然，這條文字被很快刪除。不過(guò)，由于那些被推出來(lái)的視頻都是來(lái)自于Vine(Twitter旗下的短視頻應(yīng)用)，所以很有可能是多西在Vine上使用了與Twitter相同的密碼，或者說(shuō)是其他相關(guān)的賬號(hào)被盜取，從而被OurMine套用在Twitter上并成功破解。

　　為什么又是Twitter ?

　　OurMine 團(tuán)隊(duì)陸續(xù)黑了三個(gè)重要科技人物的Twitter 賬號(hào)，除了讓人對(duì) OurMine 的目的進(jìn)行質(zhì)疑以外，還想知道為什么他們的 Twitter 賬戶(hù)會(huì)被盜取。

　　原因也許很簡(jiǎn)單：因?yàn)樗麄冊(cè)诓煌木W(wǎng)絡(luò)賬號(hào)上使用了相同的密碼。

　　6月初發(fā)生的扎克伯格 Twitter 賬戶(hù)被盜事件，其實(shí)是因?yàn)?OurMine 首先獲得了小扎在 LinkedIn 上的泄露數(shù)據(jù)，并且破解了 SHA1加密過(guò)的密碼。然后黑客再利用這些數(shù)據(jù)，成功進(jìn)入到小扎的 Twitter。令人大跌眼鏡的是，小扎的密碼竟然是“dadada”。

　　

　　(圖自：onedio)

　　Google CEO 皮扎伊的 Twitter 賬號(hào)被黑與之類(lèi)似。OurMine 先通過(guò) Quora 平臺(tái)上的一個(gè)漏洞獲得了密碼;然后又通過(guò) Quora 密碼在 Twitter 上試了一下，結(jié)果竟然登錄成功。

　　至于多西的，十有八九與也 Vine 有關(guān)。

　　除了這些比較顯眼的賬戶(hù)被黑事件，最近 Twitter 還有一次大規(guī)模的賬號(hào)泄露。

　　據(jù)報(bào)道，同樣是在6月，有超過(guò)3200萬(wàn) Twitter 用戶(hù)的登錄信息在“暗網(wǎng)”出售，包括用戶(hù)名、郵箱地址和明文密碼等。不過(guò)據(jù) Twitter 調(diào)查稱(chēng)，這些信息可能是之前一系列社交網(wǎng)絡(luò)被黑事件所致，也有部分是惡意軟件從用戶(hù)那里收集到的數(shù)據(jù)。

　　愛(ài)范兒(微信 ID：ifanr)此前曾經(jīng)報(bào)道，為了保護(hù)這些出現(xiàn)在“暗網(wǎng)”上的賬號(hào)，Twitter 對(duì)出現(xiàn)在“暗網(wǎng)”上的賬戶(hù)信息進(jìn)行了核查并提前鎖定，同時(shí)給相關(guān)用戶(hù)發(fā)送了郵件通知。

　　

　　(圖自：appmobi)

　　但是在 Twitter 信息安全部門(mén)負(fù)責(zé)人 Michael Coates 看來(lái)，在不同網(wǎng)站使用相同密碼依然是賬戶(hù)安全風(fēng)險(xiǎn)的主要原因。他說(shuō)：

　　最近來(lái)自于部分網(wǎng)站的數(shù)據(jù)泄露，實(shí)際上已經(jīng)對(duì)所有的網(wǎng)站造成了威脅。那些攻擊者將用戶(hù)名、郵箱、密碼等信息挖掘出來(lái)，然后在其他各大網(wǎng)站進(jìn)行“撞庫(kù)”嘗試。所以那些在多個(gè)網(wǎng)站使用相同賬號(hào)密碼的用戶(hù)賬戶(hù)極易被黑客控制。

　　OurMine 到底是什么鬼?

　　憑借這幾次奪人眼球的 Twitter 賬號(hào)控制，OurMine 在最近一兩個(gè)月也算是出盡風(fēng)頭。那么 OurMine 到底是一個(gè)什么樣的所在?

　　有一點(diǎn)可以確定的是，OurMine 黑掉別人的賬號(hào)密碼不是為了威脅或恐嚇，也看不到什么實(shí)際的利益。它不修改密碼，通常會(huì)在被黑的賬號(hào)上發(fā)表一個(gè)聲明稱(chēng)是在測(cè)試賬號(hào)的安全，然后坐等聲明被刪，賬號(hào)被官方恢復(fù)。

　　OurMine 有一個(gè)以 .org 為域名后綴的網(wǎng)站，看起來(lái)似乎是一個(gè)非盈利組織。但是在打開(kāi)網(wǎng)站之后，卻看到這樣的頁(yè)面：

　　

　　(圖自：OurMine)

　　簡(jiǎn)單來(lái)說(shuō)，它為個(gè)人和公司提供付費(fèi)的賬戶(hù)安全測(cè)試服務(wù)，價(jià)格從30美元到5000美元不等。如果不成功的話，還可以退款。

　　這是赤裸裸的商業(yè)行為。

　　但是在《連線》雜志的一次線上匿名采訪中，OurMine 的其中一員卻堅(jiān)持認(rèn)為 OurMine 只是為了警醒用戶(hù)。他說(shuō)：我們不需要錢(qián)，我們之所以提供安全服務(wù)，是因?yàn)楹芏嘤脩?hù)需要它。我們不是黑帽黑客，我們是一個(gè)安全團(tuán)隊(duì)。我們想告訴大家沒(méi)有人是安全的。

　　當(dāng)被問(wèn)到是否有人購(gòu)買(mǎi)網(wǎng)站上的安全服務(wù)的時(shí)候，那個(gè)匿名受訪者稱(chēng)他們已經(jīng)收到了18400美元，并提供了一張5000美元的訂單截圖。訂單上寫(xiě)的是來(lái)自 Conversely 公司 和 TruthFinder 公司的支付。但是后來(lái)當(dāng)《連線》向 Conversely 求證的時(shí)候，Conversely 卻說(shuō)根本沒(méi)有這回事。

　　

　　(圖自：OurMine)

　　除了上述服務(wù)，OurMine 的網(wǎng)站上還開(kāi)辟出一個(gè)專(zhuān)門(mén)的板塊來(lái)發(fā)布一些重點(diǎn)賬號(hào)被黑的消息，顯得非常高調(diào)。那么，既然 OurMine 的目標(biāo)是為了提醒安全，那么為什么不私下通知那些被黑的賬戶(hù)呢?

　　這位匿名受訪者回答說(shuō)：他們忽略了我們，所以我們只能證明給他們看。我們沒(méi)有做錯(cuò)。

　　題圖來(lái)自：willowridgesecurity