自家CEO帐号也被盗!Twitter宣布暂停简讯推文功能
Twitter宣布暂时停止透过简讯发文的功能,原因就是日前执行长多西(Jack Dorsey)的帐号被骇客入侵攻击,很明显该功能存在很大的安全漏洞。
骇客利用文字转推文(text-to-tweet)服务骇入多西的帐号,而文字转推文服务目前由 Twitter收购的Cloudhopper 负责营运。使用Cloudhopper,Twitter用户就可透过将简讯经由一组短码数字(通常是 40404)发文。
此系统只需要将电话号码连结到Twitter帐号,因此只要控制某人的电话号码,通常就能侵入帐号发文,但大部分的人并不知情。
根据 Twitter 官方声明,供应商的「安全监管」让骇客获得控制权。一般来说,这种攻击被称为 SIM 卡入侵攻击(SIM Hacking),基本上就是说服电信商将多西的电话号码分配给骇客控制的新手机。
在大多数国家,简讯发文功能可能会被关闭一段时间,但Twitter表示它很快就能再重新启动,同时也将致力于发展新的长期策略。
We’re taking this step because of vulnerabilities that need to be addressed by mobile carriers and our reliance on having a linked phone number for two-factor authentication (we’re working on improving this).