黑客分两种,一种是从事间谍、破坏或犯罪活动的黑帽子,一种是给厂商提交系统漏洞助其解决安全问题的白帽子。但 OurMine 却是这两种之外的第三者,他们似是穿着轻薄白色外套的黑帽子,甚至连他们也有点分不清到底自己是黑还是白。
一周前的星期天,这个名叫OurMine的黑客组织盗取了Google CEO Sundar Pichai 的 Twitter 和 Quora 账号,并用账号给粉丝发了“已被黑”和“我们只是测一下安全性”的信息。显然,Pichai只是这个黑客组织最近的一个攻击目标而已,他们还在同一周的周一黑了著名投资人Mark Suster,并在几周前黑了扎克伯格,以及扎克伯格的姐姐Randi Zuckerberg,Spotify的创始人Daniel Ek,亚马逊的首席技术官Werner Vogels,与演员Channing Tatum的Twitter账号。
面对这些“骄人业绩”,OurMine毫不掩饰地在自己网站上对每一个成员都进行了一番吹捧。但有趣的是,他们却以“安全组”自称,并在网站上打着为企业及个人提供安全检查的广告标语:
1000美元扫描网站,5000美元扫描企业全部系统。
在接受Wired的采访时,OurMine的其中一名成员坚持告诉Wired,他们用名人账号搞恶作剧,只是想给大家上一课。
“我们不是黑帽子,是一个安全团队,我们也只是想告诉大家,在网络世界里,人人都有被黑的风险。”
这名成员拒绝透漏其姓名与地址,只告诉Wired,他们总共有三个人。并称,
“我们不需要钱,我们给企业做有偿安全检测,都是他们求上门来的。”
这名成员还补充道,他们并没有修改任何一个人的账户密码——这种礼貌可以证明他们是善意的。但如果是为了提供安全预警,为什么不私底下将安全风险告诉被黑的人呢?
“他们会忽略我们的,我们得证明一下。”
OurMine这样回答,“我们并没有做错什么事情。”
这名成员说,OurMine可以通过Quora控制Pichai的Twitter账号,因为两个账号是关联在一起的,可以通过Quora发一些简单操作的推文。他们还称,曾把黑入Pichai账号时利用的漏洞,报给Quora过。
但Quora说,没有OurMine提交漏洞报告的记录,也同时表示Pichai的账号并不是通过Quora的系统漏洞被黑的。Quora认为,Pichai的账号密码是通过撞库被获取的,与扎克伯格被黑的原因相似。
对于OurMine团队的其他攻击行为,这名成员说,他们是通过Bit.ly网站的漏洞,黑了亚马逊的Werner Vogels和Randi Zuckerberg的,因为他们的Twitter账号与Bit.ly网站相关联。但Bit.ly也向Wired否认,OurMine不是利用网站漏洞获取的账户信息,是密码泄露造成的。
如此看来,OurMine的所有声明都令人匪夷所思。这名接受采访的成员称,他们已经通过提供“安全服务”获取了18400美元的收入。但当Wired问他索要证明时,他只发了一张他们Paypal账户的截图过来,似乎还有修改痕迹,上面写着,TruthFinder公司向他们支付了5000美元。
但当Wired联系TruthFinder时,TruthFinder说他们从来没有支付过任何这样的“安全服务”,截图是伪造的,我们在这之前也从来没有听说过OurMine,更不会购买这种服务。
以上所有信息都足以说明,企业并不会让一个匿名的、违法组织来提供“安全服务”。
但OurMine的确是给大家上了免费的一课,提醒大家
不要在多个账户之间使用同一个密码,并设置双重安全认证,注意关联账户可能带来的风险。
