從推特遭駭事件看社群媒體帳號安全
網戰資安所 杜貞儀博士後研究
關鍵字:社交工程、帳號安全、選舉安全
關鍵字:社交工程、帳號安全、選舉安全
社群媒體推特(Twitter)於7月15日傳出包括美國前總統歐巴馬(Barack Obama)、民主黨總統候選人拜登(Joe Biden)、巴菲特(Warren Buffet)、蘋果公司等多個美國知名人士及公司官方帳號遭駭客竊取,發布意圖騙取比特幣(bitcoin)之貼文。[1]推特發布聲明指出,有駭客針對部分推特員工進行社交工程(social engineering),取得內部系統權限後,重設部分帳號之密碼以竊取帳號。[2]此事件不僅揭示社群媒體的帳號安全問題,帳號遭駭後若遭刻意張貼操弄訊息造成混淆,其影響恐難以估計,應審慎因應。
遭駭事件凸顯推特公司內部管理問題
作為重要社群媒體平台,推特一向於維護帳號安全著力甚深,率先推出認證帳號機制與雙重認證(Two-factor authentication)等措施,防止帳號遭冒充或被駭入竊取。然而,帳號竊取事件仍層出不窮,受害者甚至包括推特執行長多西(Jack Dorsey),其帳號於2019年9月遭竊,駭客利用SIM卡偷換攻擊(SIM swapping)先取其手機號碼,再以此重設其帳號密碼,並發布粗俗且具種族歧視意涵之貼文。這不僅顯示推特面臨來自新攻擊型態的威脅,在不到一年內又再次發生重大帳號竊取事件,不僅可能運用類似手法,甚至更進一步針對具使用者帳號管理權限的推特員工,以社交工程取得權限進入內部帳號系統,也讓外界對其內部管理產生質疑。目前推特尚未說明為何少數員工遭控制,取得內部帳號系統權限即能重設用戶密碼,事件發生後的應變處理,亦顯得捉襟見肘。若推特後續無法妥善回應,恐將喪失用戶與投資人的信任,對於近年來針對其平台可能遭有心人士操弄的指控,其回應也更難以自圓其說。
社群媒體帳號遭操弄影響將難以估計
雖然相關調查報導初步研判,本次攻擊主要目的較可能為騙取比特幣,然而考量推特在美國等地已成為公私部門與公眾互動的重要平台,帳號遭操弄之潛在影響,仍不可小覷。例如美國2020年即將舉行的總統大選,若以候選人帳號於關鍵時機張貼訊息造成混淆,即可能左右選民投票行為,影響選舉結果。而在天災等重大公共安全事件之際,若以政府相關單位之官方帳號發布錯誤訊息,更可能因此造成人民生命財產損失。此外,駭客取得帳號後,還可透過推特下載個人資料功能,取得該帳號包括私密訊息在內的所有資料,如為重要人士等高價值目標,有心人士取得資料進行數位人格繪製(profiling)後,將可進一步採取更具針對性的攻擊。
鑒於公私部門以社群媒體官方帳號作為重要訊息管道已漸成趨勢,此次推特遭駭事件,顯示官方帳號管理者採行雙重認證時,除手機簡訊、應用程式認證外,也應考慮使用實體安全金鑰等提升防護。但即便如此,仍有帳號遭駭風險,公私部門實應建立多樣公共訊息管道,同步提供最新資訊,才能避免因仰賴少數商業社群媒體平台,而在關鍵時刻無法立即妥善回應,造成難以挽回的後果。
遭駭事件凸顯推特公司內部管理問題
作為重要社群媒體平台,推特一向於維護帳號安全著力甚深,率先推出認證帳號機制與雙重認證(Two-factor authentication)等措施,防止帳號遭冒充或被駭入竊取。然而,帳號竊取事件仍層出不窮,受害者甚至包括推特執行長多西(Jack Dorsey),其帳號於2019年9月遭竊,駭客利用SIM卡偷換攻擊(SIM swapping)先取其手機號碼,再以此重設其帳號密碼,並發布粗俗且具種族歧視意涵之貼文。這不僅顯示推特面臨來自新攻擊型態的威脅,在不到一年內又再次發生重大帳號竊取事件,不僅可能運用類似手法,甚至更進一步針對具使用者帳號管理權限的推特員工,以社交工程取得權限進入內部帳號系統,也讓外界對其內部管理產生質疑。目前推特尚未說明為何少數員工遭控制,取得內部帳號系統權限即能重設用戶密碼,事件發生後的應變處理,亦顯得捉襟見肘。若推特後續無法妥善回應,恐將喪失用戶與投資人的信任,對於近年來針對其平台可能遭有心人士操弄的指控,其回應也更難以自圓其說。
社群媒體帳號遭操弄影響將難以估計
雖然相關調查報導初步研判,本次攻擊主要目的較可能為騙取比特幣,然而考量推特在美國等地已成為公私部門與公眾互動的重要平台,帳號遭操弄之潛在影響,仍不可小覷。例如美國2020年即將舉行的總統大選,若以候選人帳號於關鍵時機張貼訊息造成混淆,即可能左右選民投票行為,影響選舉結果。而在天災等重大公共安全事件之際,若以政府相關單位之官方帳號發布錯誤訊息,更可能因此造成人民生命財產損失。此外,駭客取得帳號後,還可透過推特下載個人資料功能,取得該帳號包括私密訊息在內的所有資料,如為重要人士等高價值目標,有心人士取得資料進行數位人格繪製(profiling)後,將可進一步採取更具針對性的攻擊。
鑒於公私部門以社群媒體官方帳號作為重要訊息管道已漸成趨勢,此次推特遭駭事件,顯示官方帳號管理者採行雙重認證時,除手機簡訊、應用程式認證外,也應考慮使用實體安全金鑰等提升防護。但即便如此,仍有帳號遭駭風險,公私部門實應建立多樣公共訊息管道,同步提供最新資訊,才能避免因仰賴少數商業社群媒體平台,而在關鍵時刻無法立即妥善回應,造成難以挽回的後果。
[1] Sarah Frier and Kartikay Hehrotra, “Twitter Hack Hits Obama, Biden, Musk in Bitcoin Scam,” Bloomberg,
July 16, 2020, https://www.bloomberg.com/news/articles/2020-07-15/elon-musk-bill-gates-appear-to-have-twitter-accounts-hacked.
July 16, 2020, https://www.bloomberg.com/news/articles/2020-07-15/elon-musk-bill-gates-appear-to-have-twitter-accounts-hacked.
[2] “An update on our security incident,” Twitter Blog, July 18, 2020, https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html.