不，你赚不到比推特黑客更多的钱

想象一下：你偶然发现了这一年的脆弱性。您知道如何访问任何经过验证的Twitter用户帐户：乔·拜登、金·卡戴珊、坎耶·韦斯特、XXXTentacion、苹果，应有尽有。那是你邪恶计划的第一步。第二步应该是什么？

也许你登录了总统的账户，发布了一条关于向朝鲜发射导弹的虚假推文。我不相信仅仅通过发送几条虚假的推文就能引发一场世界大战，但为了便于争论，我们就说你可以。但不管怎样，你对看着这个世界燃烧不感兴趣；不，你的目标是赚尽可能多的钱。你该怎么办？

实施今天Twitter黑客攻击的人有一个答案：在著名的账户上发布消息的变体“发送1个BTC到这个地址，我将发送2个BTC回来”，然后(这里是Kicker)实际上不会发送2个BTC。

在Twitter控制局势之前，他们设法带走了略高于10万美元的资金。几个人(在推特上，在黑客新闻上，真的是无处不在)对此嗤之以鼻，并声称他们会用这种力量做一些更有趣的事情。让我们探讨一下他们的一些想法，看看我们是否真的能做得更好。

这是大多数人首先想到的。这听起来很简单：买入一堆特斯拉股票，登录埃隆·马斯克(Elon Musk)的账户，在推特上发布“将$TSLA以2000美元私有化”，然后在价格上涨和马斯克/Twitter/全世界意识到黑客入侵之间的这段时间内出售。

这需要相当多的资金来购买标的股票，而黑客可能没有，但还有其他选择：也许你做空股票，然后在推特上发布(虚假的)关于特斯拉新汽车系列的破坏性信息。也许你只是做空Twitter自己的股票，这肯定会在明天的市场上遭受巨大打击(黑客是在交易时间过后执行的)。

哦，呵呵，我会买HTZ的，这是交易。我已经决定，特斯拉将以每股69美元的价格收购破产的赫兹，使其车队完全自动驾驶，我将成为亿万富翁，金钱将以尽可能高的音符结束。

-马特·莱文(@Matt_Levine)2020年7月15日

所有这些都有一个大问题，那就是很难匿名参与股票市场。SEC有各种各样的监控措施，以捕捉更常见的内幕交易和欺诈形式，你可以保证他们会对假想的基于黑客的市场欺诈进行长期、彻底的调查。与比特币交易不同，电汇和股票购买可以在事后逆转，当你实际使用美元时，敞口和风险都会上升。

黑客获得了所有Twitter认证账户的完全访问权限，这意味着他们应该有权访问他们的直接消息。这肯定比仅仅发布一条虚假的推文更有价值吧？想想索尼泄密事件造成的不可估量的损失，或者观看这段假设但仍令人恐惧的汤姆·斯科特(Tom Scott)视频，视频讲述的是一个关闭Gmail密码检查一天的世界。

诚然，在经过认证的用户的DM中潜藏着大量有趣的材料，他们不想看到曙光，但从中赚钱有点棘手。最明显的方法是勒索。从最受欢迎的用户那里过滤消息，并威胁说，如果他们不将X BTC发送到Y地址，您将完全释放这些消息。

这肯定会赚一大笔钱，但我不相信这值得花这么大的力气。首先，很难提前判断哪些账户拥有利润丰厚的DM。像乔·拜登(Joe Biden)这样的大型高调账户由一个完整的社交媒体团队运营，可能不会通过Twitter交换敏感信息。较小的账户可能确实会有更有趣的八卦，但可能会因此不太愿意或不太有能力付款。

然后就是实际渗透和存储所有数据的问题，向你黑客攻击的每个用户发送单独的消息，追踪谁已经支付和没有支付，以及实际上公开发布泄露的材料。这是大量的运营费用，最终可能会比愚蠢的比特币骗局净赚更少的钱。

抛开实际寻找买家的挑战不谈(你不能仅仅在论坛上发帖，联邦政府也会阅读黑暗的网络)。买家应该愿意为这个漏洞付给你多少钱呢？要么买家计划将利用漏洞赚钱超过10万美元(这篇文章的全部目的是为了证明这真的很难！)，要么买家想将漏洞用于其他目的，比如监视或情报收集。

这不是不可能的。各国一直在互相监视，我相信中国会很乐意阅读记者或香港积极分子的DM。问题是，这种特殊的利用并不是特别适合长期监视业务。登录该帐户实际上需要与其相关联的电子邮件，并触发密码重置(不知何故也绕过了2FA)。密码重置触发了一封通知电子邮件，发送到文件中的原始地址，基本上是宣布了账户接管。在整个世界都知道这个漏洞之前，黑客只有几个小时的时间。

情报机构希望持续访问，他们希望在目标不知道自己被监视的情况下进行监视。这个漏洞不可能做到这一点。

现在我们到了某个地方，…。大公司通常会向报告缺陷的白帽黑客支付巨额资金，这些缺陷的破坏性比这个小。即使Twitter不会像通过比特币骗局那样支付100%的钱，漏洞赏金计划也有100%合法的额外好处，这应该会显著改变风险计算。那为什么我们的黑客没有走这条路呢？

一种理论是，如果黑客已经是一名已知的罪犯，在不向Twitter透露他们的身份的情况下收取漏洞赏金是很棘手的，这可能最终仍会给他们带来一些麻烦。我不确定我该不该买这个(他们不能直接用第三方吗？)。

这条推文表明，OAuth的收购价值770万美元(税后你只剩下一小笔钱)。如果是这样的话，这是Twitter的漏洞赏金计划的一个大问题！您需要确保激励措施使报告比利用更有价值。

更新：更多关于账户接管是如何执行的报道浮出水面，这表明没有任何技术漏洞被利用过。社会工程和内部风险(这显然是相当具破坏性的)往往没有资格在大多数项目上获得奖励。

好吧，这样怎么样：登录Coinbase的Twitter账户，制作一条推文，宣布一些时髦的新功能，并包括一个实际指向钓鱼网站的bit.ly链接。执行中继网络钓鱼攻击，允许您在绕过2FA的情况下访问他们的Coinbase帐户，然后将他们的所有比特币、以太和Dogecoin发送到您自己的帐户。

有一些缺陷，但只要付出一些努力，大多数都是可以克服的。首先，Twitter可能会相当快地删除这条推文，所以你可能会想要瞄准著名加密货币爱好者(不仅仅是Coinbase)的几个不同账户。其次，bit.ly可能会禁用该特定的URL，而Google肯定会将该钓鱼网站添加到他们的安全浏览列表中(所有主要浏览器都共享该列表)。这将导致在用户可以访问您的站点之前出现大的可怕的红色警告横幅。此外，无论您从哪个注册商购买您的域名，都可能会将其吊销。

好的，与其拥有一个钓鱼网站、一个域名和一个URL，不如提前设置几个这样的网站，并在每个网站被不同的参与者依次删除时从一个跳到另一个。这可能行得通！会让你净赚10万美元以上吗？也许吧？！很难说，可能在很大程度上取决于运气和时机。Coinbase账户中拥有最多加密货币的人可能从一开始就最不可能上当，所以还不清楚你会比愚蠢的1送2骗局多赚多少钱，但如果你设法破坏了一个拥有巨额储备的账户，这可能是值得的。

尽管如此，所有这些都需要一些合理困难的软件工程工作，而且这样做的全部目的都是为了轻松赚钱！我知道今天的袭击在执行上几乎是令人痛苦的跛行，但从战术上来说，这真的可能是最明智的选择。

这并不是说他们做的每件事都是正确的：我仍然无法解释为什么他们在整个过程中似乎只使用了一个BTC地址(Coinbase和其他交易所很快阻止了对这个地址的交易)，而且他们一些推文的措辞生硬而笨拙(当然，他们本可以付费订阅Grammarly)。但归根结底，我认为没有证据表明推特上的帖子只是真实攻击的“掩护”，也没有证据表明这次黑客攻击与外国政府有关。我认为这条推文很好地总结了这一点：

有时，任何人都可能发现并利用高影响力的虫子，甚至连不知道如何处理他们抓到的车的狗也不例外。真的没有比这更重要的了。

-布拉德·希尔(@hillbrad)2020年7月16日