本文作者:CertiK安详团队
Twitter官方回应
在昨天,一个关于Windows的DNS处事器的裂痕(CVE-2020-1350)被果真,进攻者可以通过发送特定的请求,从而长途执行任意的代码。有人就此提出了这样一个意料:Twitter有一个果真的MS DNS处事器,这个处事器并没有对CVE-2020-1350举办修复,进攻者通过此裂痕获取了该处事器的节制权,而因为Windows DNS处事器是焦点网络组件,该裂痕可激发蠕虫式流传,且无需用户交互和身份验证,进攻者由此进入了Twitter内部的靠山打点界面,然后通过该界面修改用户邮箱,把重置暗码的链接发送到本身节制的邮箱中,以此来取得方针账户的节制权。
厥后索性在推特上泛起了病毒式流传,包罗比尔·盖茨,亚马逊首创人Jeff bezos, 彭博社首创人Bloomberg,苹果官方账号,特斯拉CEO Elon Musk, 著名歌手侃爷Kenye West、美国前总统奥巴马和约瑟夫·拜登等人的账号,无一幸免。
以上图片内容均来自CertiK安详专家截图
此次黑客进攻始于行业,如Gemini生意业务所、Coinbase生意业务所、币安生意业务所的CEO赵长鹏、Tron的CEO孙宇晨,区块链媒体Coindesk,均受到进攻并宣布相关动静。
以上图片内容均来自CertiK安详专家截图
黑客进攻了著名社交网站推特,一个各人都不怎么相信就连美国前总统账户也会被黑的一个网站(固然早就猜疑美国的现任总统早就被黑了)。操作了公众对推特的信任以及名流的公信力,让各人认为这次勾当是真的。
登岸Twitter后,在More -> Settings and privacy -> Account -> Data and permissions -> Apps and sessions 内里可以看到当前被授权获取你Twitter相关权限的应用和登岸了的Sessions。CertiK安详团队推荐按期查抄被授权的Apps, 实时移除不须要的Apps. 登出可疑的Sessions.
登岸Twitter后,在More -> Settings and privacy -> Account -> Security -> Two-factor authentication界面开启二次验证,二次验证的要领有手机短信, Google Authentication app,和物理形式的Security Key。利用二次验证可以防备黑客在打仗到用户的账号暗码的环境下,偷取用户账号。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
