内部黑客讲述：Twitter 史上最大规模攻击事件始末

钛媒体注：本文来自于微信公众号新浪科技（ID：techsina），编译丨匀琳，钛媒体经授权发布。

7 月 15 日发生在 Twitter 上的针对政客、企业和文化精英的黑客攻击阴谋始于周二晚，两名黑客在网络消息平台 Discord 上的调侃信息。

根据媒体获悉的对话截图，昵称为 "Kirk" 的用户写道：" 嗨，哥们。我在 Twitter 工作。不要把这些分享给任何人。很严肃地说。"

然后，他证明自己可以控制 Twitter 上的有价值账户——这种事情，一般需要内部人士访问该公司的计算机网络才能做到。

收到这条消息的黑客（显示的昵称叫 "lol"）在接下来的 24 小时内认为，Kirk 根本不在 Twitter 工作，因为他老想着给公司使坏。但是Kirk 也确实可以访问 Twitter 的最敏感工具，可以让他控制几乎任何一个 Twitter 账户，包括前总统巴拉克 · 奥巴马、小约瑟夫 · 拜登、伊隆 · 马斯克等众多名人的账户。

尽管这次黑客攻击事件马上引来了全球关注，也让 Twitter 陷入信任危机，尽管其他科技公司也提供了安全帮助，然而究竟谁该为这次攻击负责、以及他们是如何成功的等等基础细节，依然是一个谜。调查仍处于早期阶段。

但有媒体采访到了四名参与这次攻击的人员，他们分享了周二和周三的大量日志与屏幕截图，证明他们在黑客攻击发生前与发生后均有参与。

外媒通过将他们的社交媒体和加密货币账户与周三事件中出现的账户相对比，证实这四人确实与那次黑客攻击事件有关联。他们还提供了参与黑客活动的确凿证据，比如 Discord 和 Twitter 上的对话日志。

在研究公司 Chainalysis 的协助下，外媒对比特币交易进行了分析。分析发现，攻击事件的核心人物是 Kirk，他在攻击事件发生当天用相同的比特币地址充值和提现。

但是 Kirk 的身份，他的动机以及他是否与其他任何人分享过他对 Twitter 的访问权限，依旧成谜。我们也不知道 Kirk 访问拜登、马斯克等人的账户权限到底有多大，是否可以访问更多特权信息，比如他们在 Twitter 上的私人对话。

昵称叫 "lol" 的黑客和另一个与他一起工作的人（昵称 "ever so anxious"）说，他们想聊聊自己和 Kirk 一起做的事情，来证明他们只是在当天早些时候协助购买和控制鲜为人知的 Twitter 账户。下午 3 点半左右，Kirk 发起更声势浩大的攻击时，他们没有继续参与。

" 我只是想把我自己的故事告诉你们，因为我觉得你可以为我和‘ ever so anxious ’澄清一些事实，""lol" 在 Discord 上说道。他还分享了自己跟 Kirk 的所有聊天记录，并证明他的确是那些与 Kirk 有过交易的加密货币账户的所有者。

"lol" 没有透露自己的真实身份，但他说，自己住在西海岸，差不多二十多岁。"ever so anxious" 说自己 19 岁，跟母亲住在英格兰南部。

此次黑客攻击的调查人员说，黑客提供的细节与他们目前掌握的线索相吻合，包括 Kirk 在当天晚些时候参与了大型黑客攻击，并在周三早些时候发动一些小规模攻击。

通过加州一名安全研究人员哈西卜 · 阿万（Haseeb Awan）的介绍，记者与黑客取得最初联系。阿万说，他跟黑客们有联系是因为，其中不少黑客之前曾针对过他和他以前拥有过的一家比特币相关的公司。他们也试图攻击他现在的公司 Efani（一家安全电话服务商），但没有得逞。

周三之前，这个叫 "Kirk" 的人在黑客圈里还不怎么出名。他在 7 月 7 日才刚刚创建了 Discord 账户。

但是 "lol" 和 "ever so anxious" 在 OGusers.com 网站上已经小有名气。安全专家说，黑客们一直在这个网站上购买和出售有价值的社交媒体昵称。

对于游戏玩家、Twitter 用户和黑客，所谓的 O.G。用户名——通常是一个简短的词或数字——非常抢手。这些独特的昵称通常被新在线平台的早期用户抢注。后来加入平台的用户因为垂涎这些 O.G。用户名，往往愿意花重金请黑客把用户名从原主人手中抢过来。

周二晚，Kirk 先是联系上 "lol"，然后又在周三早些时候联系了 "ever so anxious"，问他们是否愿意成为自己的中间人，在他们小有名气的在线黑市出售 Twitter 账户。他们可以从每笔交易中拿到分成。

在首批交易中，"lol" 促成了一笔 1500 美元的交易，用比特币支付，这个人想购买 "@y" 这个 Twitter 用户名。比特币交易的公共分类账显示，收钱的那个比特币钱包地址，与 Kirk 随后在攻击 Twitter 认证账户当天用来收钱的地址一致。

该团伙在 OGusers.con 上发布了一则广告，出售 Twitter 昵称，支付方式为比特币。"ever so anxious" 买下了他一直想要的 @anxious 这个昵称。（他的个人信息仍显示在该停用账户首页。）

" 我就是觉得拥有其他人羡慕的用户名，非常了不起，""ever so anxious" 说。

那天早晨，越来越多顾客闻讯而来，Kirk 的开价也一路水涨船高。他还展示了自己访问 Twitter 系统的权限。他可以立即修改任何用户名的最基本安全设置，还发布 Twitter 内部控制面板的截图，来证明自己确实控制了那些待售账户。

最后，他们卖掉的账户包括 @dark、@w、@l、@50 和 @vague 等等。

他们的顾客之一是另一个在倒卖用户名圈子里较为出名的黑客。这个人叫 "PlugWalkJoe"。在安全记者布莱恩 · 克雷布斯（Brian Krebs）周四发布的文章里，PlugWalkJoe 是主角。克雷布斯称，PlugWalkJoe 是 Twitter 黑客攻击事件中的主要人物。

但是 Discord 的日志显示，PlugWalkJoe 仅仅是从 "ever so anxious" 那里购买了用户名为 @6 的 Twitter 账户，稍稍个性化设置后，再没有参与其中。PlugWalkJoe，自称真实姓名为约瑟夫 · 奥康纳（Joseph O ’ Connor），在采访中，他说，事件发生时，他正在西班牙自己家附近。

奥康纳自称是自己是英国人，21 岁。他说：" 我不在乎。他们可以来抓我。不过我什么都没做，我会嘲笑他们。"

奥康纳还说，其他黑客告诉他，Kirk 黑入了 Twitter 的内部 Slack 消息频道，然后看到他们发布在那里的凭证，还看到了给他访问 Twitter 服务器权限的某一个服务。调查该事件的调查人员说，这和他们目前了解到的情况一致。一名 Twitter 发言人拒绝发表评论。

"lol" 和 "ever so anxious" 参与的交易全都发生在大规模攻击发生之前。但是下午 3 点半刚过，大型加密货币公司如 Coinbase 等发布推文，呼吁大家向 cryptoforhealth.com 捐赠比特币。

Kirk 在控制了 Coinbase 的 Twitter 账户后，立马在 Discord 上告诉 "lol" 说，" 我们刚刚拿下了 cb。"（cb 即 Coinbase。）

三名调查人员说，比特币交易公共分类账显示，为建立 cryptoforhealth.com 付款的比特币钱包也是 Kirk 当天早晨一直在使用的比特币钱包。

周三早晨的其他通讯信息显示，"ever so anxious" 说自己得补会觉，因为他在英格兰，时间已经很晚了。大规模攻击发动前夕，他给女友发了一条短信 " 睡觉时间 "，然后就从 Discord 上下线了。

但是Kirk 继续把动静越搞越大，控制名人坎耶 · 韦斯特和科技巨头杰夫 · 贝索斯等人的账户发布信息称：把比特币发送到指定账户，你就会收到双倍的回报。

下午 6 点刚过，Twitter 似乎控制了局面，诈骗消息消停了。但该公司不得不中止大量用户的访问权限。几天过去了，Twitter 仍在梳理整个事件。

Twitter 在一篇博客文章中说，黑客攻击了 130 个账户，并获得了其中 45 个账户的访问权限，同时借这 45 个账户发送垃圾信息。该公司称，他们可以从其中 8 个账户下载数据。

" 我们很快意识到我们对使用我们服务的用户以及整个社会负有责任，" 文章写道，" 我们很尴尬，也很失望，最重要的是，我们十分抱歉。"

在英国，当 "ever so anxious" 一觉醒来看到发生的一切后，他给同伴 "lol" 发了一条非常失望的信息。

" 我真是又生气又难过。他才赚了 20 个比特币，" 他说，指的是 Kirk 从骗局中一共才获利 20 个比特币，价值约 1.8 万美元。

Kirk，无论他的真实身份是什么，再也没有回复他的中间人，从此人间蒸发。