四位黑客亲述:我们这样搞掉Twitter的
综合整理 |箫雨
原文来源|New York Times
导语:社交媒体Twitter周三遭遇的大规模黑客攻击令人震惊。尽管这一入侵事件引发全球关注,并动摇了人们对于Twitter以及其他科技公司的安全系统的信心,但是谁应该为这起事件负责,它究竟是如何发生的,依旧是一个谜。Twitter以及美国联邦调查局(FBI)的调查仍处于早期阶段。四位参与这一攻击事件的黑客与《纽约时报》讲述了他们是如何策划攻击Twitter的,并分享了他们的对话记录和截图,曝光了他们在入侵攻击曝光前后所从事的活动。
以下是文章全文:
这场针对政客、企业以及文化精英的Twitter入侵计划始于周二晚些时候。当时,两位黑客在网络消息平台Discord上互相调侃。Discord是一个玩家和黑客们常用的消息平台。
这次攻击的关键人物是一位名叫“Kirk”的用户。“嘿,兄弟,”对话截图显示,“我在Twitter工作,不要把这些给任何人看,真的。”
随后,Kirk演示了他可以控制一些重要的Twitter账号。这一过程需要内部人士访问Twitter的计算机网络。
收到这一消息的黑客使用的账号名为“lol”。他在接下来 24 个小时内认定Kirk实际上不是为Twitter工作,因为Kirk过于愿意伤害Twitter了。但是,Kirk确实能够访问Twitter最为敏感的工具,从而几乎能够控制任意Twitter账号,包括美国前总统奥巴马、特斯拉CEO埃隆·马斯克(Elon Musk)和其他众多名人。
黑客与《纽约时报》的对话显示,发动此次攻击的并不是像俄罗斯这样的单一国家或者经验丰富的黑客组织。相反,它是由一群年轻人完成。其中一位说,他与自己的妈妈住在一起。他们之间彼此认识是因为他们十分迷恋一些早期或者不同寻常的用户名,尤其是单个字幕或者数字,例如@y或者@6。
《纽约时报》证实,这四位黑客的社交媒体和加密货币账号能够和周三发动入侵Twitter攻击的账号相匹配,从而证明他们确实和这起事件存在关联。他们还提供了参与这起攻击的确凿证据,例如他们在Discord和Twitter上的对话记录。
核心人物曝光
这起攻击事件的核心人物是Kirk。《纽约时报》在区块链分析公司Chainalysis的协助下对比特币交易的分析显示,随着时间的推移,Kirk掌控了同一个比特币地址内的资金进出。
但是,Kirk的身份、他的动机以及是否与其他人分享了他的Twitter权限依旧是一个谜,就连与他一起参与攻击的黑客也不知道。而且,目前也不清楚Kirk在多大程度上利用他对于美国总统候选人拜登、马斯克等名人账号的访问来获取更为保密的信息,例如这些名人在Twitter上的私密对话。
lol和另外一位一起合作的黑客“ever so anxious”(非常焦虑)对《纽约时报》表示,他们想讨论与Kirk的合作旨在证实他们只是为周三稍早时候对不出名的Twitter账号的购买和接管提供便利。但是,当Kirk在美国东部时间周三大约15: 30 分(北京时间周四3: 30 分)开始实施更为引人关注的攻击时,他们就不再与Kirk合作。
“我只想告诉你们我的故事,因为我认为你们或许能够帮我和‘ever so anxious’澄清一些事情,”lol在Discord上的对话中表示。他分享了自己与Kirk的所有对话记录,证明他拥有此前用于与Kirk交易的加密货币账号。
lol无法证实他的真实身份,但表示他生活在西海岸, 20 多岁。“ever so anxious”说他今年 19 岁,与他的妈妈住在英格兰南方。
调查这起攻击事件的调查人员称,这些黑客提供的多个细节与调查人员目前所掌握的信息一致,包括Kirk同时参与了周三稍早时候的低调攻击和晚些时候的重大入侵活动。
《纽约时报》一开始通过加州安全研究人员哈西卜·阿万(Haseeb Awan)联系上了这些黑客。据阿万介绍,他之所以能够与黑客们进行了沟通,是因为许多黑客曾经把阿万和他曾经拥有的一家比特币相关公司当作攻击目标。而且,黑客们还曾经对阿万目前的安全手机服务提供商Efani发动过攻击,但是没有成功。
社交网络靓号买卖
在周三之前,这个名为Kirk的用户在黑客圈里并没有多大的名气。他在Discord上的资料在 7 月 7 日才刚刚建立。
但是lol和“ever so anxious”在黑客网站OGusers.com上已经众所周知。安全专家称,多年来,黑客们都是在OGusers碰头,购买和出售有价值的社交媒体用户名,也就是靓号。
对于网络玩家、Twitter用户以及黑客们来说,所谓的靓号十分抢手。该用户名通常是一个短字,甚至是一个数字。这些吸引眼球的靓号通常会被一个新在线平台的早期使用者、新应用的元老级人物所抢占。
对于新用户来说,他们常常渴望获得一个靓号所带来的威信,愿意向黑客支付数千美元购买后者从原始所有者盗来的靓号。
Kirk先是在周二晚些时候通过Discord联系了lol,然后又在周三联系了“ever so anxious”,问他们是否想成为Kirk的中间人,向那些他们拥有很高名气的网络黑市出售Twitter账号,并且能够从每笔交易中抽成。
黑客之间交易Twitter账号的对话截图
根据他们达成的首批交易其中的一笔,lol安排了一笔交易,有人愿意以价值 1500 美元的比特币购买名为@y的Twitter用户名。比特币交易的公共账本显示,这笔钱所进入的比特币钱包与Kirk后来从入侵Twitter名人账号所获得的款项使用的比特币钱包相同。
他们在OGusers.com网站上发布了一条广告,出售Twitter靓号以换取比特币。“ever so anxious”拿下了@anxious,这是他梦寐以求的用户名。他的个人详细资料里依旧占据着这个已经被冻结的账号。
“我只是觉得拥有一个其他人想要的用户名是一件很酷的事情。”“ever so anxious”在与《纽约时报》的对话中称。
周三早晨过后,抢购靓号的顾客蜂拥而入,Kirk所要的价格也水涨船高。他还演示了自己拥有多大的Twitter系统访问权限。他能够迅速改变任何用户名的最基本安全设置,并发布了Twitter内部后台截图,以证明他掌控了顾客索要的账号。
他们先后卖出了@dark、@w、@l、@50、@vague以及其他许多Twitter靓号。其中一位顾客就是黑客圈买卖用户名的另外一位知名人物,他就是名为“PlugWalkJoe”的年轻男子。周四,“PlugWalkJoe”成为了安全记者布莱恩·科雷布斯(Brian Krebs)所发布一篇文章中的主角。科雷布斯认定,“PlugWalkJoe”就是Twitter被入侵事件的关键人物。
Twitter内部聊天频道遭入侵
Discord上的聊天日志显示,尽管“PlugWalkJoe”通过“ever so anxious”获得了Twitter账号@6,并略微进行了个性化处理,但他并没有卷入这场攻击。“PlugWalkJoe”自称他的真名为约瑟夫·奥康纳( Joseph O’Connor)。他在接受《纽约时报》采访时称,当攻击事件发生时,他一直在西班牙目前的家中附近做按摩。
“我不在乎,”奥康纳称,他今年 21 岁,是英国人,“他们可以来抓我。我会嘲笑他们,因为我没做过任何事情。”
奥康纳称,其他黑客通知他,当Kirk找到方法进入Twitter内部Slack聊天频道时,看到了Twitter员工在聊天频道里发布了的访问凭证,而且还有一项能够让他访问Twitter服务器的服务。调查人员称,这与他们目前所掌握的信息一致。Twitter发言人以正在调查为由拒绝置评。
Kirk发布的@R9 账号后台信息
涉及lol与“ever so anxious”的所有交易都发生在Twitter入侵事件被曝光前。但是就在快要到周三15: 30 分时,Coinbase等大型加密货币公司开始发布推文,要求人们向cryptoforhealth.com捐赠比特币。
“我们刚刚攻击了Coinbase,”Kirk在Discord上对lol说道,当时距离Kirk接管Coinbase的Twitter账号刚刚过去一分钟。
三位调查人员称,比特币交易的公共账本显示,用于付款建立 cryptoforhealth.com网站的比特币钱包就是Kirk整个早晨一直在使用的钱包。
在周三早晨发布的多条信息中,“ever so anxious”说他需要睡会觉,因为英格兰时间当时已经是晚上了。就在大规模入侵攻击发动不久前,他向自己的女友发布了一条短信:“小睡一会”,然后就从Discord聊天记录中消失了。
大规模攻击上演
Kirk迅速升级了他的攻击努力,从属于亚马逊创始人杰夫·贝佐斯(Jeff Bezos)等科技大佬、“侃爷”坎耶·维斯特(Kanye West)等艺人的Twitter账号发出了同一条信息:向特定账号发送比特币,会获得双倍返还。
刚过 18 点,Twitter似乎发现了攻击者,比特币骗局的信息停止发送。但是,Twitter为此不得不切断了大批用户的访问权限。几天后,Twitter仍在厘清到底发生了什么。
当“ever so anxious”在英国当地时间2: 30 醒来后,他在网上看到了所发生的一切,然后向他的中间人lol发送了一条信息。
“真是悲哀,让人生气,我的意思是说他才赚了 20 个比特币。”他指的是Kirk从比特币骗局中获得的比特币,价值约为 18 万美元。
Kirk,无论他是谁,已经不再回复他的中间人,人间蒸发。(作者/箫雨)