推特宣稱補好可挾持帳號的漏洞，研究人員駭入名人帳號打臉

研究人員去年數度揭露推特（Twitter）一項利用簡訊挾持帳號的漏洞，推特對外宣稱已經修補好，不過研究人員隨後發動攻擊打臉。

安全業者Insinia Security於去年3月首次揭露推特的漏洞。除了利用網頁或手機app，推特也接受簡訊發文。這個漏洞即位於推特處理文字簡訊的過程中，只要取得某人電話號碼，即可利用漏洞挾持其推特帳號。這漏洞一旦被國家或犯罪組織利用，即可用來亂發文破壞人或公司的名譽，或是經由記者或名人帳號散佈假新聞、有害網站連結，或是騷擾他人的訊息。此外，還可以發動更多進階攻擊，像是蒐集有效推特帳號、對他人發動社交工程攻擊騙取資訊、或在PC植入惡意程式等。

Insinia Security表示他們多年來呼籲簡訊及以行動網路來驗證身份的安全性，並曾於3 月和11月透過媒體報導發出警告。正當推特上周五表示已補好這項漏洞時，這家公司的研究人員直接對英國電視名人Louis Theroux 、Eamonn Holmes等人的推特帳號下手，挾持其帳號發文、轉推及按讚、以追蹤／停止追蹤其他帳號等。

對於這個頗有爭議的「提醒」，Insinia Security執行長Mike Godfrey對The Guardian表示，此舉旨在突顯問題，促使推特關閉該漏洞。他們還說兩個月前就已通知Theroux。不過他們並未透露他們如何取得名人的電話號碼。

研究人員呼籲用戶應從推特帳號移除電話號碼，推特也應停止以簡訊驗證，因為雙因素驗證的使用已愈來愈普及。此外，由於SIM卡調換（SIM Swap）攻擊愈來愈頻繁，他們也建議推特應切斷電話號碼和帳號連結，停止用簡訊發送推文的功能。