今年8月，大规模黑客攻击以及随后对有线作家马特·霍南（Mat Honan）的数字生活的拆解，让黑客社区的足智多谋以及许多综合数字服务的松懈安全政策亮起了亮光。苹果和亚马逊都很快弥补了导致Honan被黑客攻击的漏洞，但Twitter账户（Honan的黑客们追求的终极奖项）仍然出人意料地容易受到不成熟的黑客攻击。这个漏洞在上周末被展示为一组令人向往的“OG”Twitter句柄——这些短而难忘的单字名字在服务启动时被抢购一空——被一群想要赚点钱和给朋友留下深刻印象的孩子暴力入侵。

上周六早上，Daniel Jones（Twitter上称为@blanket）收到一封电子邮件，说他的帐户的电子邮件地址已经更改，如果你还没有对你的帐户做任何更改，这是一条令人不安的消息。果然，他的密码不起作用，他的微博和跟帖账号都是零。琼斯很快意识到黑客控制了他的账户，并将他的账号从@blanket改成了更**的东西，然后很快抓住了现在可用的@blanket账户，并控制了一个电子邮件地址。

紧紧抓住那些“OG”推特手柄

琼斯在推特上的时间比大多数人都长——他的第一条推特发布于2007年3月22日。”我与@blanket签约是因为我有一家**公司，现在还有一个名为blanket Statement Producti***的**披风，“琼斯告诉我，”所以我选择@blanket，因为它又短又甜。“作为早期采用者的好处之一是获得一个令人满意的、独特的、单一世界的手柄，但缺点是，像他这样的手柄是一个引人注目的目标。

经过一天的研究，琼斯“找到了一小群破解密码以获取句柄的孩子的底细”——他发现了其他一些短而难忘的句柄，比如@hah、@captain和@craves也被黑客入侵。从他在Twitter上看到的对话来看，这些黑客不是老练的社会工程师，只是一群试图**他们收集的名字的青少年。最终，琼斯与一名14岁的黑客在Skype上进行了一次长时间的交谈，这名黑客是梅森的手下——他并不是从琼斯那里偷走@blanket的人，但他是抢夺和**这些令人向往的名字的年轻人中的一员。

这种黑客行为几乎不是复杂的社会工程的结果

琼斯告诉我，梅森和他的朋友并不是高级黑客——事实上，梅森告诉琼斯，他入侵推特账户才几个星期。至于他们是如何破解这些账户的，琼斯说，黑客“根据他们想要的用户名运行一个字典列表，然后强行从中取出一个密码。”他接着说，他使用的是“一个单词和一个数字，所以他们的列表比仅仅运行一个字典要复杂一些。”

虽然梅森对自己究竟是如何打入账户的问题并不十分清楚，琼斯确实设法了解到，一个使用不同IP地址的代理列表的定制程序使Twitter无法自动锁定暴力破解密码所需的多次尝试。他还指出，Twitter的安全性比YouTube要宽松得多，而Mason发现，YouTube很难被破解。整个被黑客入侵的第一手经验让琼斯相当不安，因为Twitter没有足够的安全措施来防止像@blanket这样的被黑客入侵的账户被迅速窃取。

与Facebook（以及其他任何数量的在线服务）不同，Twitter用户不能向其帐户添加第二个电子邮件地址，以提高安全性。在切换Twitter帐户的电子邮件地址时，他们也不能使用**号码进行密码检索或身份验证。一旦黑客进入你的帐户，删除你的电子邮件地址并将其更改为不受你控制的新地址是很简单的——唯一的验证步骤就是向新地址发送电子邮件。这意味着，如果有人泄露了你的帐户，并更改了你的密码和电子邮件地址，那么当你收到Twitter的通知时，做任何事情都为时已晚。

Twitter是时候加强安全措施了

当然，Twitter并不是不关心安全问题——该公司已经默认使用HTTPS一年半了，用户可以在自己的账户中添加一个**号码进行密码验证。不幸的是，该电话号码只能用于更改密码，而不能用于验证电子邮件地址的更改。一旦黑客有了密码（就像他们在琼斯的@blanket账户中所做的那样），他们就可以更改电子邮件地址，删除你的相关电话号码，然后更改密码而不需要任何外部身份验证。尽管Twitter一直在寻求加强其安全系统，但有消息称，目前还没有任何计划添加备份电子邮件地址或更高级的两步身份验证。

尽管黑客攻击成功，但琼斯与梅森的对话强化了他的信念，即他并不是在对付一支使用先进社会工程战术的黑客小队，比如马特·霍南的攻击者。梅森是一名高中生，想通过**推特手柄来赚钱。琼斯说梅森“知道自己做错了什么，他不想让家人知道，梅森承认，他“不知道该如何回应”有人质问他偷窃姓名的行为，他还说，他通过**推特手柄赚了大约300美元。显然，这不是一个备受关注的黑市推特名字圈子，但300美元对一个高中生来说是一大笔现金。

“更改帐户上的电子邮件太容易了。。。也许这应该更难。”

对琼斯来说幸运的是，他的@blanket句柄最终被恢复了，尽管这花了两天多的时间，而且在Twitter的安全保护下来回了很多次。他首先通过Twitter直接联系到@support账户，并ping了一些为该公司工作的朋友的朋友，但发现通过Twitter的支持页面提交索赔是解决问题的首选方式。他在黑客攻击后一天半的时间里收到的第一个回复令人沮丧地毫无帮助，更不用说相当迟钝了。这名联系到Twitter的员工说，他们什么也做不了，因为电子邮件地址与相关账户不匹配——这一事实应该是显而易见的，因为这是黑客攻击的全部症结所在。

大约8个小时后，秩序恢复了，虽然琼斯希望自己能早点控制自己的账户，但他说，“更大的问题是，一开始的安全措施非常松懈，账户很容易被破解。”琼斯说，考虑到如何改进情况，“更改帐户上的电子邮件太容易了。。。也许这应该更难。”虽然琼斯承认，从纯人力的角度来看，Twitter与谷歌或Facebook并不在同一个联盟中，但他也表示，“对于像Twitter这样目标明确的社交网络，你可能认为他们现在已经制定了一些措施，或者他们已经遇到了足够多的问题，他们会更认真地对待这个问题。”

虽然丹尼尔·琼斯不是一个知名度很高的用户，但不幸的是，很多像他这样的人不得不面对没有特别好理由的账户被黑客入侵。大多数精通互联网的现代人都知道，他们需要比以往任何时候都更加警惕维护良好的安全卫生，他们应该利用他们可用的每个帐户保护功能。不幸的是，这并不总是足以保证在线帐户的安全。Twitter经常听到这样的消息——希望不久之后会有更复杂的验证选项。一点额外的安全措施可以大大减少黑客带来的麻烦。