您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给张丹
发送

0

黑了小扎和谷歌CEO的OurMine:“只是想给你们上一课”

本文作者:张丹 2016-07-05 16:02
导语:我们不是黑帽子,是一个安全团队,我们也只是想告诉大家,在网络世界里,人人都有被黑的风险。

黑了小扎和谷歌CEO的OurMine:“只是想给你们上一课”

黑客分两种,一种是从事间谍、破坏或犯罪活动的黑帽子,一种是给厂商提交系统漏洞助其解决安全问题的白帽子。但 OurMine 却是这两种之外的第三者,他们似是穿着轻薄白色外套的黑帽子,甚至连他们也有点分不清到底自己是黑还是白。

一周前的星期天,这个名叫OurMine的黑客组织盗取了Google CEO Sundar Pichai 的 Twitter 和 Quora 账号,并用账号给粉丝发了“已被黑”和“我们只是测一下安全性”的信息。显然,Pichai只是这个黑客组织最近的一个攻击目标而已,他们还在同一周的周一黑了著名投资人Mark Suster,并在几周前黑了扎克伯格,以及扎克伯格的姐姐Randi Zuckerberg,Spotify的创始人Daniel Ek,亚马逊的首席技术官Werner Vogels,与演员Channing Tatum的Twitter账号。

面对这些“骄人业绩”,OurMine毫不掩饰地在自己网站上对每一个成员都进行了一番吹捧。但有趣的是,他们却以“安全组”自称,并在网站上打着为企业及个人提供安全检查的广告标语:

1000美元扫描网站,5000美元扫描企业全部系统。

在接受Wired的采访时,OurMine的其中一名成员坚持告诉Wired,他们用名人账号搞恶作剧,只是想给大家上一课。

“我们不是黑帽子,是一个安全团队,我们也只是想告诉大家,在网络世界里,人人都有被黑的风险。”

这名成员拒绝透漏其姓名与地址,只告诉Wired,他们总共有三个人。并称,

“我们不需要钱,我们给企业做有偿安全检测,都是他们求上门来的。”

这名成员还补充道,他们并没有修改任何一个人的账户密码——这种礼貌可以证明他们是善意的。但如果是为了提供安全预警,为什么不私底下将安全风险告诉被黑的人呢?

“他们会忽略我们的,我们得证明一下。”

OurMine这样回答,“我们并没有做错什么事情。”

这名成员说,OurMine可以通过Quora控制Pichai的Twitter账号,因为两个账号是关联在一起的,可以通过Quora发一些简单操作的推文。他们还称,曾把黑入Pichai账号时利用的漏洞,报给Quora过。

但Quora说,没有OurMine提交漏洞报告的记录,也同时表示Pichai的账号并不是通过Quora的系统漏洞被黑的。Quora认为,Pichai的账号密码是通过撞库被获取的,与扎克伯格被黑的原因相似。

对于OurMine团队的其他攻击行为,这名成员说,他们是通过Bit.ly网站的漏洞,黑了亚马逊的Werner Vogels和Randi Zuckerberg的,因为他们的Twitter账号与Bit.ly网站相关联。但Bit.ly也向Wired否认,OurMine不是利用网站漏洞获取的账户信息,是密码泄露造成的。

如此看来,OurMine的所有声明都令人匪夷所思。这名接受采访的成员称,他们已经通过提供“安全服务”获取了18400美元的收入。但当Wired问他索要证明时,他只发了一张他们Paypal账户的截图过来,似乎还有修改痕迹,上面写着,TruthFinder公司向他们支付了5000美元。

但当Wired联系TruthFinder时,TruthFinder说他们从来没有支付过任何这样的“安全服务”,截图是伪造的,我们在这之前也从来没有听说过OurMine,更不会购买这种服务。

以上所有信息都足以说明,企业并不会让一个匿名的、违法组织来提供“安全服务”。

但OurMine的确是给大家上了免费的一课,提醒大家

不要在多个账户之间使用同一个密码,并设置双重安全认证,注意关联账户可能带来的风险。


参考链接:Wired

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

编辑

如果你读了我的文章,也想和我聊聊,欢迎加微信451766945
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说