特朗普的推特密码:maga2020
近日,非营利性组织GDI基金会的安全研究员,荷兰漏洞披露协会主席Victor Gevers在社交媒体网站上披露了他的发现:
“亲爱的@realDonaldTrump,我多次尝试通知,您的推特密码弱爆了。上周五,就像2016年10月那次一样,我们又猜到了您的密码。我联系了@CISAgov、@TeamTrump、@WhiteHouse、@DonaldJTrumpJr和@twittersecurity。但没有人回应。请启用2FA(双因素认证)!” |
在2016年那次“事件”中, Gevers和其他两个安全人士成功猜到了特朗普的推特账户密码:youarefired(你被解雇了!这也是特朗普当年最广为人知的一句口头禅)。
吃一堑长一智,今年特朗普的推特密码显然有所强化,正如Gevers猜测的,新密码“maga2020”(MAGA是特朗普的竞选口号,人尽皆知)增加了2020这组无障碍数字。
尽管Twitter发言人表示,“没有证据证实这一说法”,并且“已针对美国指定的一组与选举相关的知名度很高的Twitter账户,积极实施了账户安全措施。”但是荷兰报纸De Volksrant的一篇报道却发表了不同意见。
根据报道,Gevers截取了屏幕快照以记录他的“攻击”步骤,其中包括四次尝试失败,然后才尝试使用“魔法密码”并一蹴而就。
虽然Gevers通知的白宫和安全部门没有人回应,但是第二天,Gevers注意到特朗普的推特账户启用了双因素身份验证。两天后,据报道,Gevers收到了美国特勤局的一封电子邮件,要求提供有关账户接管的更多信息,并感谢他暴露了该安全性问题。
“鉴于总统在Twitter上的高频稳定输出,他的8700万追随者以及他作为自由世界领导人所拥有的绝对力量,使用maga2020这样直白的密码非常危险。”ProPrivacy研究人员Andreas Theodorou说道:“实际上,在任何其他年份,我都倾向于认为这是假新闻。”
颇为讽刺的是,本周早些时候,特朗普在亚利桑那州的一次集会上发表了“没有人会被黑”的言论,成功逗笑了整个网络安全界。特朗普说:
“没有人被黑客攻击。攻击你的黑客智商至少需要197,而且需要知道你的密码的15%”。
安全牛评
对于特朗普治国和竞选如此重要的推特账号,居然在曝出重大密码安全问题四年后依然在使用极为脆弱的密码并拒绝启用双因素甚至多因素认证,这反映了两大问题。
首先,从特朗普对待口罩和科学防疫,以及黑客和网络攻击的态度,我们不难想象经常需要登录推特的他对双因素认证会有多么深恶痛绝。此外,特朗普还解散了奥巴马时代在白宫设立的国家网络安全委员会机构,辞退了白宫网络安全高级人才,正如前白宫网络安全和反恐顾问Paul Kurtz所言:特朗普从来没有真正关注过网络安全。
其次,虽然安全界普遍认为双因素认证(2FA)和多因素认证(MFA)对于提升企业安全防御能力至关重要,但是由于所谓的“安全疲劳“和”业务摩擦“问题,大量实施案例流于形式,虎头蛇尾。企业安全主管们需要注意与企业高级管理层沟通双因素认证的常见盲区和误区,尤其是纠正将MFA等同于“创可贴”和“口罩”的危险看法,要从安全策略和安全文化的高度和深度去克服MFA的推广阻力。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
点赞 0
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
部分Mac用户称系统将打印机驱动程序视为恶意软件
一些用户报告,由于 macOS 错误声称某些软件为恶意软件,他们无法再使用惠普打印机进行打印,或者无法继续通过专用应用来播放 Amazon Music。 外媒 AppleInsider 称,用户报告他们的 Mac 突然弹出通知,称其 HP 打印机包含恶意软件:“会损坏您的计算机”。另外,其他用户报告的是同一问题,但与 Amazon Music 应用有关。 在这种情况下,尝试启动应用程序或仅使用 Mac,都会弹出一个对话框。报告说有恶意软件会损坏 Mac,并建议用户将特定文件移至废纸篓。 该文件可以是 Amazon Music 应用程序,也可以是称为 HP Device Monitoring.framework 的惠普打印机驱动程序。用户可以选择单击“移至废纸篓”或“取消”,但是如果他们选择取消,该错误将继续发生。 该问题似乎与苹果的 XProtect 有关。这是 Gatekeeper 的一部分,后者是苹果的安全系统,用于识别和禁用 Mac 上的恶意软件。报告的大多数案例来自普通消费者,但现在可以确认该问题也正在影响企业中的打印机。 受影响的大多数用户报告说,他们最近尚未更新 HP 打印...
- 下一篇
腾讯演示5G安全漏洞:可向用户发送仿冒银行短信
垃圾短信通常是由黑产份子利用非法购买的无线电设备,建立“伪基站”所发出,现在,有白帽黑客团队发现,利用通信协议漏洞,也可以“制造”垃圾短信效果。 10月24日,在GeekPwn 2020 国际安全极客大赛上,腾讯安全玄武实验室高级研究员李冠成、戴戈演示了一项最新的5G安全研究发现:利用5G通信协议的设计问题,黑客可以“劫持”同一个基站覆盖下的任意一台手机的TCP通讯,包括各类短信收发、App和服务端的通信均有可能被劫持。 李冠成和戴戈演示了攻破5G消息(RCS)的过程,以“20201024”的号码向一台指定的手机发送了一条消息。 实际上,消息不仅仅是可以以“20201024”的号码发出,而是可以模仿任意号码。 据腾讯方面介绍,这一漏洞意味着,用户收到一条显示为“955**”的银行短信或者App消息推送有可能来自未知的恶意用户,黑产团伙可以利用这个漏洞实施多种形式的攻击,例如伪造银行向受害者发送短信告知异常交易,引导受害者去点击一个链接,实际上这个链接被植入木马,可以窃取受害者银行卡信息;也有可能伪造受害者的手机号向其家人发短信,提出转账或者其他要求;甚至劫持任意HTTP访问,造成用户账...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8编译安装MySQL8.0.19
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS8安装Docker,最新的服务器搭配容器使用
- SpringBoot2全家桶,快速入门学习开发网站教程
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7,8上快速安装Gitea,搭建Git服务器