掌理着在世界上数亿个 Twitter 帐号公钥的 Twitter CEO 罗宾 · 什涅（Jack Dorsey）很大居然，他们的 Twitter 帐户居然也被黑了。

（图自：wsj）

此次的 " 嫌疑犯 " 仍然是这个名叫 "OurMine" 的四人骇客项目组。OurMine 以后已经赢得成功黑过 Facebook CEO 丹尼尔 · 扎克伯格和 Google CEO 桑萨尔 · 皮奥马尔的 Twitter 账户。

OurMine 在补齐了什涅的 Twitter 帐号和公钥后，果不其然用他的帐号推了两个 " 绿色食品 " 的音频短片，接著又发了一句话：

Hey, its OurMine, we are testing your security.

（图自：twitter）

总之，这条文本被迅速删掉。但是，虽然那些被面世来的音频都是源自于 Vine（Twitter 母公司的短音频应用领域），因此很有可能是什涅在 Vine 上采用了与 Twitter 完全相同的公钥，换句话说是其它有关的帐号被窃取，进而被 OurMine 指涉在 Twitter 上并赢得成功补齐。

为何又是 Twitter ？

OurMine 项目组相继黑了四个关键科技人物形象的 Twitter 帐号，除让人对 OurMine 的目地进行批评之外，还想晓得为何她们的 Twitter 帐户会被窃取。

其原因或许很单纯：即使她们在相同的互联网帐号上采用了完全相同的公钥。

6 月底出现的扎克伯格 Twitter 帐户失窃该事件，只但是其原因在于 OurMine 具体来说赢得了小扎在 LinkedIn 上的外泄统计数据，因此补齐了 SHA1 身份验证过的公钥。接着骇客再借助那些统计数据，赢得成功步入到小扎的 Twitter。更让人瞠目结舌的是，小扎的公钥居然是 "dadada"。

（图自：onedio）

Google CEO 皮奥马尔的 Twitter 帐号被黑与之类似。OurMine 先通过 Quora 平台上的一个漏洞赢得了公钥；接着又通过 Quora 公钥在 Twitter 上试了一下，结果居然登录赢得成功。

至于什涅的，十有八九与也 Vine 有关。

除那些比较显眼的帐户被黑该事件，最近 Twitter 还有一次大规模的帐号外泄。

据报道，同样是在 6 月，有超过 3200 万 Twitter 用户的登录信息在 " 暗网 " 出售，包括用户名、邮箱地址和明文公钥等。但是据 Twitter 调查称，那些信息可能是以后一系列社交互联网被黑该事件所致，也有部分是恶意软件从用户那里收集到的统计数据。

爱范儿（微信 ID：ifanr）此前曾经报道，为了保护那些出现在 " 暗网 " 上的帐号，Twitter 对出现在 " 暗网 " 上的帐户信息进行了核查并提前锁定，同时给有关用户发送了邮件通知。

（图自：appmobi）

但是在 Twitter 信息安全部门负责人 Michael Coates 看来，在相同网站采用完全相同公钥依然是帐户安全风险的主要其原因。他说：

最近源自于部分网站的统计数据外泄，实际上已经对所有的网站造成了威胁。那些攻击者将用户名、邮箱、公钥等信息挖掘出来，接着在其它各大网站进行 " 撞库 " 尝试。因此那些在多个网站采用完全相同帐号公钥的用户帐户极易被骇客控制。

OurMine 到底是什么鬼？

凭借这几次夺人眼球的 Twitter 帐号控制，OurMine 在最近一两个月也算是出尽风头。那么 OurMine 到底是一个什么样的所在？

有一点可以确定的是，OurMine 黑掉别人的帐号公钥不是为了威胁或恐吓，也看不到什么实际的利益。它不修改公钥，通常会在被黑的帐号上发表一个声明称是在测试帐号的安全，接着坐等声明被删，帐号被官方恢复。

OurMine 有一个以 .org 为域名后缀的网站，看起来似乎是一个非盈利组织。但是在打开网站后，却看到这样的页面：

（图自：OurMine）

单纯来说，它为个人和公司提供付费的帐户安全测试服务，价格从 30 美元到 5000 美元不等。如果不赢得成功的话，还可以退款。

这是赤裸裸的商业行为。

但是在《连线》杂志的一次线上匿名采访中，OurMine 的其中一员却坚持认为 OurMine 只是为了警醒用户。他说：

我们不需要钱，我们之因此提供安全服务，其原因在于很多用户需要它。我们不是黑帽骇客，我们是一个安全项目组。我们想告诉大家没有人是安全的。

当被问到是否有人购买网站上的安全服务的时候，这个匿名受访者称她们已经收到了 18400 美元，并提供了一张 5000 美元的订单截图。订单上写的是源自 Conversely 公司 和 TruthFinder 公司的支付。但是后来当《连线》向 Conversely 求证的时候，Conversely 却说根本没有这回事。

（图自：OurMine）

除上述服务，OurMine 的网站上还开辟出一个专门的板块来发布一些重点帐号被黑的消息，显得非常高调。那么，既然 OurMine 的目标是为了提醒安全，那么为何不私下通知那些被黑的帐户呢？

这位匿名受访者回答说：

她们忽略了我们，因此我们只能断定给她们看。我们没有做错。

题图源自：willowridgesecurity

查看原文