四年前,在2016美国总统大选的前几天,三位来自荷兰的“暴躁老黑客”使用2012年LinkedIn泄露的用户数据,成功登录了唐纳德·特朗普的Twitter帐户。
这三位身份不明的中年黑客分别以Edwin、Mattijs与Victor为代号,并在采访中表示他们用于登录特朗普Twitter账户的密码,完全就是照搬自一套早已广泛传播的泄露数据库。更令人震惊的是,特朗普总统四年以来压根就没有修改过登录密码。
一击命中带来的意外之情,让三位老黑客激动不已。顺带一提,这里顺利通过的是Twitter平台的登录账户与密码,特朗普总统注册LinkedIn账户时所使用的@realdonaldtrump邮箱密码倒是经过了修改。
这一爆炸性新闻来自久经考验、早在第二次世界大战期间就已诞生的荷兰反纳粹媒体《Vrij Nederland (VN)》。
VN杂志记者Gerard Janssen在描述LinkedIn数据库遭受入侵的情况时写道,“这是一座拥有1.2亿个用户名与密码哈希的数字宝藏。”2012年,俄罗斯某好事者入侵了LinkedIn网站。2016年,热情的哈希破解爱好者们发现该数据库被正式发布在互联网之上。更重要的是,这套遭到泄露的数据库中包含650万条未加盐的密码哈希。
通过遍历该数据库,三位荷兰黑客找到了特朗普总统对应的条目:
电子邮件:donaldtrump@trump.com
密码哈希:07b8938319c267dcdb501665220204bbde87bf1d
使用哈希还原工具John the Ripper,他们成功解密了特朗普的密码:yourefired。通过进一步搜索,他们找到了与之匹配的正确电子邮件地址(twitter@donaldjtrump.com——请注意,与特朗普注册LinkedIn时使用的@realdonaldtrump不同)。
遗憾的是,Twitter方面的防护措施很给力,平台发现真实用户不久之前曾经从纽约登录,因此拒绝了三位老哥来自荷兰的登录请求。
但这事倒难不倒他们,在启动了一台代理服务器后,登录顺利完成。
VN杂志还发布了由这三位提供的截图,浏览器页面显示他们似乎确实登录了特朗普总统的Twitter账户,其中显示出一条日期为2016年10月27日的推文,内容与特朗普在北卡罗来纳州夏洛特发表的讲话有关。
这些荷兰黑客们还宣称,他们从同样泄露的外遇约会网站Ashley Madison数据库中也找到了特朗普的个人信息。有趣的是,虽然注册用户高达3100万,但其中只有1.4%为女性。
尽管努力与美国当局就特朗普先生个人账户安全性低下问题(包括未启用多因素身份验证、仍在使用已经外泄的密码等)进行了沟通,但对方对此显然不以为意。为了让自己的发现得到应有的重视,黑客们被迫与荷兰国家网络安全中心取得联系并递交了准备好的安全报告。
VN杂志的Jassen写道,“简而言之,暴躁老黑客们算是树立了一个好榜样。就算对方是自己特别讨厌的家伙,他们也没有贸然行事,而是选择了更负责任的披露方式。”
萨里大学的Alan Woodward教授补充道,“密码安全基础知识:请为不同的账户设置不同的密码。另外,如果大家意识到自己的密码曾在以往的违规事件中遭到泄露(我觉得当时LinkedIn入侵事件的曝光度已经够高了),请务必修改旧有密码。这一次的状况可以算是证书填充攻击中的教科书级案例了,希望各位朋友引以为戒。”
原文链接:
https://www.theregister.com/2020/09/11/trump_twitter_account_recycled_password/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。