四位黑客说：这就是我们杀死 Twitter 的方式

出品 | 凤凰新闻科技 凤凰新闻客户端

综合整理|小雨

原文出处|纽约时报

黑客交易推特账户的对话截图

导语：周三社交媒体推特发生的大规模黑客攻击事件触目惊心。 虽然此次违规事件引发了全球关注并动摇了人们对 Twitter 和其他科技公司安全系统的信心，但谁应对此事件负责以及事件如何发生仍然是个谜。 Twitter 和 FBI 的调查仍处于早期阶段。 参与此次攻击的四名黑客向纽约时报讲述了他们如何在 Twitter 上策划此次攻击，并分享了他们的谈话记录和截图，揭露了他们在漏洞公开前后的活动。

以下为文章全文：

针对政治家、企业和文化精英的 Twitter 黑客攻击于周二晚些时候开始。 当时，这两名黑客正在在线消息平台 Discord 上互相开玩笑。 Discord 是一个深受游戏玩家和黑客欢迎的消息传递平台。

这次攻击的关键人物是一个名叫“柯克”的用户。 “嘿兄弟，”对话截图显示，“我在 Twitter 工作，不要向任何人展示这个，真的。”

随后，柯克证明了他可以控制一些重要的推特账号。 该过程需要内部人员访问 Twitter 的计算机网络。

收到消息的黑客使用的账户名为“lol”。 在接下来的 24 小时里，他决定柯克实际上并没有为 Twitter 工作，因为柯克太愿意伤害 Twitter。 但柯克确实获得了 Twitter 最敏感的工具，使他能够控制几乎所有 Twitter 帐户，包括美国前总统巴拉克奥巴马、特斯拉首席执行官埃隆马斯克和许多其他名人。

黑客与《纽约时报》的对话显示，此次攻击并非由俄罗斯等单一国家或经验丰富的黑客组织所为。 相反，它是由一群年轻人完成的。 其中一位说他和他的母亲住在一起。 他们之所以认识对方比特币黑客为什么没被抓，是因为他们对一些早期或不寻常的用户名非常着迷，尤其是单个字幕或数字，例如@y 或@6。

《纽约时报》证实，这四名黑客的社交媒体和加密货币账户能够与周三 Twitter 黑客事件的负责人相匹配，证明他们与该事件有关。 他们还提供了参与攻击的确凿证据，例如他们在 Discord 和 Twitter 上的谈话记录。

关键人物曝光

袭击的核心是柯克。 《纽约时报》在区块链分析公司 Chainalysis 的协助下对比特币交易进行的分析表明，随着时间的推移，柯克控制着资金进出同一比特币地址。

但柯克的身份、他的动机以及他是否与他人分享了他的 Twitter 访问权限仍然是个谜，即使是与他一起参与攻击的黑客也是如此。 而且，目前还不清楚柯克在多大程度上利用他对美国总统候选人拜登、马斯克等名人账户的访问权限，获取了更多机密信息，比如这些名人在推特上的私密谈话。

lol 和另一位黑客“ever so anxiate”（非常焦虑）告诉纽约时报，他们想与 Kirk 讨论合作，以确认他们只是为了周三早些时候购买未命名的 Twitter 账户并为接管提供便利。 但是当柯克在美国东部时间周三中午 15 点 30 分左右（北京时间周四下午 3 点 30 分）开始进行更引人注目的攻击时，他们停止了与柯克的合作。

“我只是想告诉你们我的故事，因为我认为你们可以为我澄清一切，并且‘非常焦虑’，”lol 在 Discord 上的一次对话中说道。 他分享了他与柯克的所有谈话记录，证明他拥有之前与柯克交易的加密货币账户。

lol 无法确认他的真实身份，但说他住在西海岸，20 多岁。 “非常焦虑”说他今年 19 岁，和妈妈住在英格兰南部。

调查此次攻击的调查人员表示，黑客提供的多个细节与调查人员目前掌握的情况一致，包括柯克参与了周三早些时候的一次低调攻击和后来的一次重大破坏。

《纽约时报》最初通过加利福尼亚州的安全研究员 Haseeb Awan 联系了黑客。 据阿万介绍，他之所以能够与黑客沟通，是因为很多黑客都针对阿万和他曾经拥有的一家比特币相关公司。 而且，黑客还对阿万目前的安全手机服务提供商Efani发起了攻击，但没有成功。

社交网络账户交易

在周三之前，这名名叫柯克的用户在黑客圈子里并不为人所知。 他的 Discord 个人资料是在 7 月 7 日才刚刚建立的。

但是大声笑和“永远如此焦虑”在黑客网站 OGusers.com 上是众所周知的。 安全专家说，多年来，黑客们在 OGusers 会面，买卖有价值的社交媒体用户名，即假名。

对于在线游戏玩家、Twitter 用户和黑客来说，所谓的好名字的需求量很大。 这个用户名通常是一个简短的词，甚至是一个数字。 这些备受瞩目的账户通常被新在线平台的早期采用者、新应用程序的老手抢购一空。

新用户通常渴望高级帐户带来的声望，愿意为黑客从原所有者那里窃取的高级帐户支付数千美元。

Kirk 周二晚些时候首先通过 Discord 联系了 lol，然后在周三“非常焦虑”，询问他们是否愿意成为 Kirk 的中间人，将 Twitter 帐户出售给他们享有很高声誉的黑暗在线市场，并能够从中分一杯羹每笔交易。

黑客交易推特账户的对话截图

根据他们达成的第一笔交易，lol 安排了一笔交易，有人愿意用价值 1500 美元的比特币购买一个名为 @y 的推特用户名。 比特币交易的公共分类账显示，这笔钱进入了同一个比特币钱包，柯克后来用来从黑客名人推特账户中获取资金。

他们在 OGusers.com 网站上发布了一则广告，出售 Twitter 用户名以换取比特币。 “曾经如此焦虑”使用了@anxious，这是他梦寐以求的用户名。 他的个人信息仍然占据着这个被冻结的账户。

“我只是认为拥有其他人想要的用户名是一件很酷的事情，”“非常焦虑，”在与纽约时报的对话中说道。

周三早上过后，顾客蜂拥而至抢购漂亮的号码，柯克的价格也随之上涨。 他还展示了他对 Twitter 系统的访问权限。 他能够快速更改任何用户名的最基本安全设置，并发布了 Twitter 内部后台的屏幕截图，以证明他可以控制客户请求的帐户。

他们卖掉了@dark、@w、@l、@50、@vague 和许多其他人。 其中一位客户是黑客社区中买卖用户名的另一位知名人士，一个名叫“PlugWalkJoe”的年轻人。 周四，“PlugWalkJoe”成为安全记者 Brian Krebs 发表的一篇文章的主题。 克雷布斯将“PlugWalkJoe”确定为 Twitter 黑客攻击的关键人物。

内部 Twitter 聊天频道被黑

Discord 上的聊天记录显示“PlugWalkJoe”并未参与此次攻击，尽管通过“非常焦虑”对他的 Twitter 帐户@6 进行了轻微个性化设置。 “PlugWalkJoe”声称他的真名是约瑟夫·奥康纳（Joseph O'Connor）。 他在接受《纽约时报》采访时说，袭击发生时，他正在西班牙目前的家附近接受按摩。

“我不在乎，”21 岁的英国人奥康纳说，“他们可以来抓我。我会嘲笑他们，因为我什么都没做。”

奥康纳说，其他黑客告诉他，当柯克找到进入 Twitter 内部 Slack 聊天频道的方法时，他看到了 Twitter 员工在聊天频道中发布的访问凭证，并且有一项服务可以让他访问 Twitter 的服务器。 调查人员表示，这与他们目前掌握的信息一致。 推特发言人以正在进行的调查为由拒绝置评。

柯克发布的@R9账号背景信息

所有涉及 lol 和“永远如此焦虑”的交易都发生在推特被黑事件曝光之前。 但就在周三 15:30 之前，Coinbase 等大型加密货币公司开始发推文，要求人们向 cryptoforhealth.com 捐赠比特币。

“我们刚刚入侵了 Coinbase，”柯克在 Discord 上对 lol 说，就在柯克接管 Coinbase 的推特账户一分钟后。

据三名调查人员称，比特币交易的公共分类账显示，用于支付建立 cryptoforhealth.com 网站的比特币钱包与柯克整个上午都在使用的钱包相同。

在周三早上发布的多条消息中，“非常焦虑”说他需要睡一觉，因为英国是晚上。 在大规模违规事件发生前不久，他给女友发了一条短信：“小睡一会儿”，然后从 Discord 聊天记录中消失了。

大规模攻击上演

柯克迅速升级了他的攻击力度，来自亚马逊创始人杰夫贝索斯等科技巨头和坎耶韦斯特等艺人的推特账户发布了推文。 一条信息：将比特币发送到特定账户，您将获得双倍回报。

18:00 刚过，Twitter 似乎发现了攻击者，有关比特币骗局的信息停止发送。 然而，推特不得不为此切断了大量用户的访问权限。 几天后，推特仍在弄清楚发生了什么。

当“永远如此焦虑”在英国当地时间凌晨 2 点 30 分醒来时，他在网上看到了发生的事情，并向他的中介 lol 发送了一条消息。

“这令人难过，令人愤怒比特币黑客为什么没被抓，我的意思是他只赚了 20 个比特币，”他说，指的是柯克从比特币骗局中收到的比特币，价值约 180,000 美元。

柯克，不管他是谁，已经停止回应他的中间人并消失了。 （作者/小宇）

想看深度报道，请微信搜索“凤凰科技”

更多第一手新闻，请下载凤凰新闻客户端，订阅凤凰科技

你们看的每一个人都是我的最爱！