网络安全动态 ·

特朗普推特又被盗:这次密码是大选口号“maga2020!”

据外媒报道,上周黑客猜出了美国总统特朗普的Twitter账户密码:“maga2020!”。目前白宫方面否认了这一说法,Twitter公司则表示“尚未有证”表明有黑客入侵总统账户。

这已经不是特朗普第一次泄露Twitter密码了,2016年美国大选前夕,曾有黑客使用LinkedIn 2012年泄露的密码成功登录了他的Twitter账户

特朗普推特又被盗:这次密码是大选口号“maga2020!” 网络安全动态 第1张

据报道,一位安全研究人员上周依靠猜测用“maga2020!”密码成功登录了特朗普总统的Twitter账户,并向美国政府警告称总统先生需要升级Twitter账户安全保护。

安全研究人员Victor Gevers在第五次尝试中就成功猜到了特朗普的密码,并意外发现总统先生甚至没有使用双因素身份验证。该消息今天由荷兰媒体de Volkskrant与及《Vrij Nederland》杂志曝光。这两篇报道都引用了Gevers的表述,Vrij Nederland还发布一份截图,为Gevers在访问@realdonaldtrump账户时截取的内容。

特朗普推特又被盗:这次密码是大选口号“maga2020!” 网络安全动态 第2张

Gevers访问特朗普账户时的屏幕截图

白宫方面否认了这一说法,Twitter公司则表示“尚未证据”表明有黑客入侵总统账户。

Gevers据称于上周五成功获得了特朗普Twitter账户的访问权限。他表示在试出正确的“maga2020!”之前,还尝试过“MakeAmericaGreatAgain”(注:mage的全称,让美国再次伟大)以及“Maga2020”等密码内容。Gevers是一位著名安全研究员,自2017年以来曾多次出现在安全专题报道当中。他目前担任非营利组织GDI基金会的研究员,同时也是荷兰漏洞披露协会主席。

据Volkskrant报道,Gevers表示“我本来以为在进行四次错误尝试之后账户会被冻结”,或者至少“会要求我提供更多信息。”

这位荷兰人向特朗普以及美国政府发出了密码曝光的警告。几天之后,位于荷兰的美国特勤局与他取得联系。作为负责美国总统安全的机构,特勤局对此次上报非常重视,目前特朗普总统的账户已经再次安全。

特朗普账户发布推文嘲讽拜登

据称,就在Gevers入侵特朗普Twitter账户的同一天,该账户转发了一条来自Babylon Bee网站嘲讽拜登的推文,题为《为了减缓拜登负面新闻的传播,Twitter关闭全网平台》。但特朗普似乎是被这家讽刺性新闻网站愚弄了,不过Vrij Nederland的文章暗示,当时Gevers访问到了特朗普的个人账户,所以这条推文有可能出自Gevers之手。

Gevers在采访中表示,“我不是说这事就是我干的。但如果真是我发布的呢?那特朗普要么得承认他从来没认真读过Babylon Bee的文章,并宣布这条推文是在胡说;要么他就得承认是别人借自己的账户发送了这条推文。”目前这条推文仍未被删除。

特朗普推特又被盗:这次密码是大选口号“maga2020!” 网络安全动态 第3张

《独立报》报道称,Twitter日前表示“并无证据证实特朗普的账户被黑客入侵”,但其同时指出“我们已针对美国国内一组与本轮总统大选相关的知名Twitter账户,包括联邦政府多个分支机构,积极部署了账户安全保护措施。”

Twitter的声明并未反驳Gevers的说法。我们也很快联系到了Gevers,他确认使用“maga2020!”登录了特朗普的Twitter账户。这也是他“过去四年以来第二次”成功访问特朗普的Twitter账户。Gevers与另外两位研究人员指出,他们曾在2016年通过泄露数据中的密码进入特朗普Twitter账户,当时的密码内容为“yourefired”

白宫媒体副秘书Judd Deere也否认了Gevers的说法,并在采访中强调“这绝对不是实情,但我们无法对总统社交媒体账户相关的安全机制发表任何评论。”

特朗普至今仍不知晓2016年账户入侵一事

Gevers表示,他曾在2016年与特朗普团队进行联系,但后来发现“特朗普本人当时并未收到我们的电子邮件,也没有人向他汇报情况。他甚至不清楚曾有三个荷兰人想要提醒他账户安全这件事。”

好在这一次,Gevers成功与特朗普团队取得了联系。根据报道,Gevers在上周六突然发现特朗普的Twitter账户“激活了双因素验证功能”。文章还提到,他也从美国特勤局方面得到了消息,该部门“感谢Gevers向他们反馈一直未被发觉的安全缺陷。”

但Gevers仍对特朗普这类知名人士Twitter账户的安全态势感到担忧。他在采访中反问,“为什么其他时区的人可以轻易登录到如此重要的账户上?为什么Twitter不对密码强度做出更高的要求?如果我能访问他的账户,其他外国黑客也能做到吧?为什么会这样?当有人上报这类安全问题时,那些负责保护工作的人士为什么没法及时知悉?”

安全责任当然不能完全由Twitter来承担,Twitter用户也需要采取行动主动保护自己的账户。Secura安全研究员Matthijs Koot在采访中指出,“说得严厉一些,到2020年仍然不顾基本在线安全的人们,相当于是在给自己以及周边他人埋下定时炸弹。”

而且特朗普总统本人可能并不相信自己的账户会被他人入侵。在本周一在亚利桑那州举办的一场竞选活动中,也就是Gevers入侵Twitter账户的三天之后,总统宣称“不存在黑客入侵的情况。要想成功入侵,首先得找个智商197的黑客,而且黑客还得先掌握15%的密码内容。”

原文链接:

https://arstechnica.com/tech-policy/2020/10/hacker-says-he-correctly-guessed-trumps-twitter-password-it-was-maga2020/

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 2018288588@qq.com。

参与评论