上周五,黑客成功控制了微博服务首席执行官兼创始人杰克·多尔西 (Jack Dorsey) 的 Twitter 帐户。这些自称为“Chuckling Squad”的黑客利用这一访问权限传播否认大屠杀的信息和炸弹威胁等内容。这次劫持持续了 30 分钟,随后该公司缩短了时间。
黑客是如何实现这一壮举的?通过所谓的“SIM 交换”方法,该方法包括将目标用户(在本例中为 Jack Dorsey)的电话号码与另一张 SIM 卡相关联。为了取得成功,黑客操纵运营商的支持技术人员相信这是盗窃,或者他们依靠内部同谋。
https://twitter.com/TwitterComms/status/1167591003143847936
一旦控制了电话号码,Chuckling Squad 黑客就只有一件事要做:向 Twitter 平台发送短信。消息被自动接受和发布,无需任何其他形式的身份验证。这是 Twitter 服务的特殊性。
SIM 交换在法国也存在,特别是对 3D 安全身份验证系统进行攻击,该系统通过 SMS 向用户发送代码以验证交易。最终,这种短信验证方法应该会随着2022 年 DSP2 指令。但通过短信发送 Twitter 消息仍然是可能的……
