后真相时代:入门级黑客可轻松篡改特朗普、水果姐、大表姐的推文

继特朗普安全顾问的网站被曝光存在严重安全漏洞后,特朗普本人的Twitter账号最近也被黑客玩坏,在其推文中嵌入了搞笑视频。

近日黑客在网络上公布了攻击方法,并且经验证可以篡改包括水果姐(Katy Perry)、夏奇拉等一票天后名流的推文,该攻击方法无需破解社交账户,而是利用废弃域名做文章,对于广大信息安全工作者和企业来说也是脑洞大开,IT经理网为大家编译如下:

你也许听说过@realDonaldTrump的一条推文信息最近被比利时安全研究员Inti De Ceukelaire(@securinti) ‘劫持’的消息。

捕获trump3

image

特朗普提到了一个全国成功者大会的网站,nac2012.com,这个域名从前的拥有者并没有续费。因此Inti可以可以买下这个域名并且做了一个指向YouTube的跳转。

然后特朗普的那条推文上就出现了这样一条搞笑视频(令人不解的是,发布此文时这条视频依然显示在特朗普的官方推文中):

在这个”后真相”假新闻泛滥的时代,点击诱导可能是一个欺骗人们来点击一个链接的最好的方法。你会不会更倾向于去点一个Katy Perry发出的推特上面的链接呢?

所以,我认为排查一下排名前1000的twitter账户是一个不错的注意(:

为此,我写了一小段python脚本。有那么一点凌乱并且我之后优化了一些,基本就是让它变得更简单,它做了如下的事情:

  • 从一个用户那里下载能下到的所有推特
  • 在推特中提取域名
  • 验证域名是否可以注册

如果您看不到上面代码框请访问Github源码地址

结论

我本十分确信有人已经很积极的做了这件事情所以我不可能找到任何可用的域名,但是我错了。我在排名前1000的twitter账户中找到了109个可用的域名,并且我认为这个结果还可以被进一步提高。

如下就是Top 10:

  • Katty Perry, @katyperry , 95.6M
  • Shakira, @shakira, 42.7M
  • Jennifer Lopez, @JLo, 39.3M
  • Aamir Khan, @aamir_khan, 19.8 M
  • Agnez Mo, @agnezmo, 16.2M
  • Triple X Movie???, @deepikapadukone, 17.3M
  • Maroon 5, @maroon5, 13.7M
  • shaquille o’neal, @SHAQ, 13.2M
  • Thalia, @thalia, 8.77M
  • Pegg News, @simongpegg, 6.63M

问题与对策

上述方法面临的最大问题就是Twitter API。你只能为一个用户调用user_timeline()16次,count=200。也就是说你只能下载16*200=3200条推文。此外,他们还限制API访问,所以这个过程非常耗时。

最好的办法就是要么有所有twitter的权限要么就是开始存储它们。我没有找到一家服务提供了所有用户的所有推特但是一些网站比如说 TrumpTwitterArchive(http://www.trumptwitterarchive.com/)归档了@POTUS 和其它政治数据但是它们并不提供API。 然而我们可以使用Selenium/Scrapy来爬取它们。

我还注意到很多的bit.ly和smarturl.it的链接我没有记录如果它们是双重的短地址。如果追踪这些地址可能还会找到更多潜在的结果。在pythonwhois模块的支持下,我找到了一些漏网的顶级域名。

欢迎在Github上发送PR或者fork我的代码。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   
除非注明,本站文章均为原创或编译,转载请务必注明出处并保留原文链接: 文章来自IT经理网
相关文章:


关于作者

写评论

忘记密码

X