推特调查报告

2020年7月15日，一名17岁的黑客和他的同伙入侵了Twitter的网络，夺取了分配给知名用户的数十个Twitter账户的控制权。在几个小时的时间里，全世界都在看着黑客进行公开的网络攻击，他们一个接一个地抢占了一个备受瞩目的账户，并在推特上发布了一个“让你的比特币加倍”的骗局。黑客占领了政界人士、名人和企业家的Twitter账户，包括巴拉克·奥巴马(Barack Obama)、金·卡戴珊·韦斯特(Kim Kardashian West)、杰夫·贝佐斯(Jeff Bezos)和埃隆·马斯克(Elon Musk)，以及纽约州金融服务部(New York State Department Of Financial Services)监管的几家加密货币公司的Twitter账户。在几个小时的时间里，Twitter似乎无法阻止黑客攻击。

按货币价值计算，黑客窃取了价值超过11.8万美元的比特币。但更重要的是，这一事件暴露了一个全球社交媒体平台的脆弱性，该平台的月度活跃用户总数超过3.3亿，日活跃用户超过1.86亿，其中包括美国的3600万以上(20%)。[1]简而言之，Twitter在我们如何沟通和如何传播新闻方面扮演着核心角色。超过一半的美国成年人“经常”或“有时”从社交媒体上获取新闻。

鉴于Twitter是一家市值370亿美元的上市科技公司，令人惊讶的是，黑客能够如此容易地侵入Twitter的网络，并获得允许他们接管任何Twitter用户账户的内部工具。事实上，黑客使用的基本技术更类似于传统诈骗艺术家的技术：他们假装是Twitter信息技术部的人打电话。黑客通过这项简单的技术获得的非凡访问权，突显了Twitter的网络安全漏洞和潜在的毁灭性后果。值得注意的是，Twitter黑客没有涉及网络攻击中经常使用的任何高科技或复杂技术-没有恶意软件，没有漏洞，也没有后门。

Twitter黑客攻击的影响远远超出了这种普通的欺诈行为。社交媒体被用来操纵市场和干预选举的例子有很好的记录，通常是简单地使用一个被泄露的账户或一组虚假账户。[3]在危险的对手手中，黑客获得的相同访问权限-控制任何Twitter用户帐户的能力-可能会造成更大的伤害。

Twitter黑客事件表明，需要强大的网络安全来遏制主要社交媒体公司潜在的武器化。但我们的公共机构还没有赶上社交媒体带来的新挑战。虽然政策制定者专注于大型社交媒体公司的反垄断和内容审查问题，但它们的网络安全也至关重要。在电信、公用事业、金融等关键基础设施行业，我们建立了监管机构和法规，确保公共利益得到保护。在网络安全方面，这是具有系统重要性的大型社交媒体公司所需要的。

这份报告回顾了围绕Twitter黑客攻击的事实，发生的原因，以及可以做些什么来防止未来的事件。该报告还建议采取措施，改善对大型社交媒体公司的网络安全监督。

本报告的第二部分介绍了推特平台的背景信息，推特等社交媒体平台不断扩大的影响力，以及这种影响力如何继续影响市场以及围绕选举和虚假信息的全国对话。报告亦介绍了劳工处在保障消费者和金融服务业方面的角色。

第三部分阐述了Twitter黑客攻击的详细时间线。这包括对关键事件的描述和Twitter的回应。

第四部分详细介绍了Twitter黑客攻击对司法部加密货币许可证持有人的影响，以及他们及时努力保护客户免受欺诈的影响。它还描述了加密货币欺诈对该行业构成的实质性威胁。

第五部分阐述了使Twitter黑客攻击成为可能的Twitter的网络安全漏洞。这包括缺乏领导力，对社会工程的脆弱性，以及未能解决大流行驱动的向大规模远程工作转变所造成的新脆弱性。

第六部分确定了解决Twitter黑客暴露的弱点的最佳实践。报告建议加密货币公司可以采取的具体步骤来打击类似的欺诈行为。国防部还建议采取网络安全措施，以降低类似网络攻击成功的可能性。

第七部分提出了改进我们社会对可能导致社交媒体操纵的网络安全疏忽的防御措施的建议。它解决了监管和监管机构专注于大型社交媒体公司的网络安全弹性的必要性。

[1]*J.Clement，Twitter：2010-2019年的月度活跃用户数，Statista(2019年8月14日)，(注意到2019年初，Twitter的平均月度活跃用户总数超过3.3亿)；Twitter，Inc.，2020年第二季度致股东的信(2020年7月23日)，(指出Twitter的平均日活跃用户超过1.86亿，其中3600万(近20%)在美国)。

[2]根据ELISA Sheeller和Elizabeth Grieco，美国人对社交媒体网站在传递新闻方面所起的作用持谨慎态度，皮尤研究中心(2019年10月2日)。

州长安德鲁·M·科莫(Andrew M.Cuomo)和纽约州议会于2011年成立了该部门，作为前银行和保险部门的合并，并扩大了该部门的职权范围，纳入了“对新的金融服务产品的监管”[4]，建立了“现代监管、规则制定和裁决体系”，以回应银行和保险业以及纽约消费者和居民的需求。[5]作为其使命的一部分，该部保护纽约消费者和企业免受与金融产品和服务有关的欺诈和网络安全威胁，包括与加密货币有关的产品和服务。

司法部已经为全球金融机构制定了关键的网络安全标准，这些标准是世界各地监管机构的典范。2016年，美国司法部启动了全国首个网络安全法规，要求所有受外勤部监管的金融机构实施基于风险的网络安全计划，并报告任何企图或执行的未经授权访问其信息系统的行为。[6]该规定已成为其他监管机构的典范，包括美国联邦贸易委员会(“FTC”)、多个州和全国保险专员协会(“NAIC”)。2017年，外勤部就其数据安全示范法向NAIC提供建议，该法律基于外勤部的网络安全监管。已有11个州采用了示范法，美国财政部已敦促所有州尽快采用该模式。[7]2019年，联邦贸易委员会建议修订《格拉姆-利奇-布利利法》下的保障规则，纳入更详细的数据安全要求，这些要求明确基于DFS的规定。[8]州银行监管者会议已经提出了一项非银行数据安全示范法，该法律也明确基于DFS的网络安全法规。[9]

在警司琳达·A·莱斯韦尔(Linda A.Lacewell)的领导下，商务部于2019年成为美国第一个成立网络安全部门以保护消费者和行业免受网络威胁的州或联邦金融监管机构。DFS招募了美国新泽西州地区检察官办公室网络犯罪部门前负责人贾斯汀·赫林(Justin Herring)领导网络安全部门。正如警司一再表示的那样，网络安全是行业和政府面临的最大威胁，无可匹敌。

本局亦致力为参与虚拟货币业务活动的人士提供安全、稳定及开放的市场。2015年，纽约州颁布了开创性的虚拟货币监管规定，以定义VCBA，并制定了许可和监管计划。[10]迄今为止，新闻部已授权20多个实体在纽约和与纽约人开展VCBA活动。DFS许可证被视为加密货币公司的黄金标准，经常被包括在公司的营销材料中，作为对拟议交易对手、投资者和客户可信度的标志。

莱斯韦尔警司还于2019年成立了司法部的研究与创新部门，以提升纽约作为全球金融创新中心的地位，包括金融科技、保险技术和加密货币。在马修·荷马(Matthew Hmer)的领导下，该司致力于确保纽约人能够安全进入加密货币市场，并以前瞻性监管确保纽约继续处于技术创新的中心。

该部门与其在保护纽约人方面的领导一致，是纽约州网络安全咨询委员会不可或缺的一部分。自2013年以来，该部门的警司一直与州长的国土安全政策主管共同领导咨询委员会。该委员会由专家组成，就网络安全方面的发展向州长政府提供建议，并建议保护纽约州的关键基础设施和信息系统，包括选举安全和运作。

大约从2006年7月开始，Twitter运营了www.twitter.com，这是一个社交网络和微博网站，使用户能够通过电子邮件和文本向他们的“追随者”(即注册接收此类更新的用户)发送“tweet”-280个字符(以前为140个字符或更少)的简短更新。Twitter用户(通过网站或移动应用程序)可以关注其他个人，以及商业、媒体、政府或非营利实体。[11]Twitter用户还可以发送和接收直接的、非公开的消息(“DM”)。[12]。

Twitter维护内部帐户管理工具，以管理与Twitter用户帐户相关的广泛问题。Twitter向授权员工发放用户名和密码，以访问内部账户管理工具。7月15日发布在Twitter上的一张屏幕截图显示了黑客访问的一个内部工具：[13]。

一些内部工具包括有关每个Twitter用户帐户的非公开信息，包括帐户的关联电子邮件地址、电话号码和用户登录位置的Internet协议(“IP”)地址。为了响应用户请求，Twitter授权员工部分使用内部工具来更新电子邮件地址、重置忘记或过期的密码，或者启用或禁用多因素身份验证(“MFA”)，这是一层额外的安全保护，需要自动生成的代码才能访问帐户。

Twitter员工还使用内部工具来阻止或限制特定推文或来自用户账户的内容的分发。这些限制既可以是为了回应禁止违反当地法律的内容的国家的请求，也可以是为了强制违反Twitter管理用户行为的规则。[14]

Twitter和其他大型社交媒体公司很受欢迎，而且经常提供有价值的服务。使用Twitter，消费者可以接收来自朋友和熟人的最新消息，来自媒体的突发新闻，或者来自政府当局的公共安全和紧急更新。在许多情况下，推文邀请用户点击其他网站的链接，包括消费者可能用来获得商业产品或服务的网站。

推特黑客事件也突显了与推特等社交媒体平台相关的风险。如下所述，对于一个青少年和他的年轻伙伴来说，侵入Twitter并劫持属于世界上一些最著名的人和组织的账户是非常容易的。黑客们关注的是典型的欺诈行为。但是，当资源充足的对手发动这样的黑客攻击时，通过操纵公众对市场、选举等的看法，可能会造成更大的破坏。

近年来，Twitter和其他社交媒体平台被用来影响金融市场，造成了毁灭性的影响。例如，2013年，标准普尔500指数在黑客占领美联社Twitter账户几分钟后损失了1365亿美元的价值，并在Twitter上错误地表示，白宫发生的两起爆炸事件伤害了奥巴马总统。[15]金融犯罪分子利用社交媒体的“哄抬抛售”计划，通过虚假或误导性的推文暂时抬高股票价格；当他们抛售股票并停止推广股票时，由此导致的股票价值暴跌伤害了毫无戒心的投资者。[16]多项研究表明，推文会影响交易量和未来的市场活动，无论其内容是真是假。[17]。

社交媒体还可以扰乱选举和公共机构。2020年7月，美国国家情报总监办公室(Director Of National Intelligence)宣布，外国-主要是中国、俄罗斯和伊朗-正试图通过社交媒体和传统媒体的影响措施干预民主进程。[18]这与参议院最近的一份情报报告一致，该报告发现，俄罗斯在2016年选举期间的网络影响行动旨在破坏人们对民主机构的信心，并挑起社会不和谐。[19]。

这种影响力之所以可能，很大程度上是因为美国人对社交媒体的依赖。2019年初，推特平均月度活跃用户超过3.3亿。[20]到2020年年中，Twitter的平均日活跃用户超过1.86亿，其中近20%(3600万)在美国。[21]超过一半的美国成年人“经常”或“有时”从社交媒体获取新闻。[22]2020年，社交媒体是美国人仅次于新闻应用和网站的头号新闻来源之一，尤其是在50岁以下的人群中。[23]与此同时，公众对更广泛的媒体生态系统的信任度一直在下降：2019年至2020年的一项民意调查发现，“公众对国家两极分化的媒体环境的信任度较低”，这为错误信息的滋生打开了可能性。[24]。

鉴于社交媒体平台在全球通信中的重要性，以及之前的攻击历史，像Twitter黑客这样的事件暴露了选举、金融市场和国家安全的稳定和完整性面临的风险。

[7]我是国际移民组织的Nat‘l Ass’n.。Comm‘rs等人，“国家立法简报：NAIC保险数据安全示范法”(2020年6月)。

[8]美联储。“贸易通讯”，“保护客户信息的标准”，载于“联邦判例汇编”第84卷，13158,13163，第一卷。84，No.65，(2019年4月4日)。

[13]布莱恩·克雷布斯(Brian Krebs)，他是周三史诗般的Twitter Hack？的幕后黑手，克雷布斯谈安全(Krebs On Security)(2020年7月16日)。Twitter从其平台上删除了所有描述其内部工具的推文和欺诈性比特币诈骗推文。

[14]Twitter帮助中心，关于国家/地区扣留内容(描述特定国家/地区的扣留内容请求)。另请参阅Twitter帮助中心，我们的执法行动范围(描述针对违反Twitter行为规则的行为可能采取的执法行动，包括删除内容)。

[15]在Alina Selyukh之后，黑客就白宫爆炸事件发送虚假的美联社推文(美联社)，路透社(2013年4月23日)。

[16]美国证券交易委员会。&；Exch。通信，社交媒体和投资-避免欺诈，投资者警报(2014年11月12日)。

[17]亚当·R·科恩布卢姆(Adam R.Kornblum)，11条推文，颠覆了股市(2018年8月13日)。

[18]NCSC主任William Evanina的声明：距离2020年选举(2020年7月24日)还有100天。

[22]根据ELISA Sheeller和Elizabeth Grieco的说法，美国人对社交媒体网站在提供2019年10月2日的新闻皮尤研究中心方面所起的作用持谨慎态度。

[23]根据艾米·米切尔、马克·尤尔科维茨、J·巴克斯特·奥列芬特和伊莉莎·希勒的研究，主要通过社交媒体获取新闻的美国人参与度较低，知识渊博，皮尤研究中心，2020年7月30日。

2020年7月14日和15日，黑客攻击推特。[26]Twitter黑客攻击分三个阶段发生：(1)社会工程攻击，以获得Twitter网络的访问权限；(2)接管具有理想用户名(或“句柄”)的账户，并出售对这些账户的访问权限；(3)接管数十个备受瞩目的Twitter账户，并试图诱骗人们向黑客发送比特币。所有这一切都发生在大约24小时内。

Twitter黑客攻击始于2020年7月14日下午[27]，当时一名或多名黑客打电话给几名Twitter员工，并声称是从Twitter IT部门的服务台打来的。黑客们声称，他们是在回应这名员工在Twitter的虚拟专用网(VPN)上出现的报告问题。自从切换到远程工作以来，VPN问题在Twitter很常见。然后，黑客试图将这名员工引导到一个钓鱼网站，该网站看起来与合法的Twitter VPN网站一模一样，并由一个类似名称的域名托管。当员工将他们的凭证输入钓鱼网站时，黑客会同时将信息输入真正的Twitter网站。此错误登录生成了一个MFA通知，要求员工进行身份验证，其中一些员工做到了这一点。

司法部没有发现任何证据表明Twitter员工在知情的情况下帮助了黑客。相反，黑客使用员工的个人信息来说服他们，黑客是合法的，因此可以信任。虽然一些员工向Twitter的内部欺诈监控小组报告了这些电话，但至少有一名员工相信了黑客的谎言。

第一名Twitter员工的账户被黑客攻破，他没有访问内部工具的权限，这些工具将允许他们接管Twitter用户账户。取而代之的是，黑客利用这个最初的妥协来浏览Twitter的内部网站，并了解更多关于Twitter的信息系统。黑客检查了Twitter的内部网网站，这些网站包含有关如何访问其他内部应用程序的信息。

7月15日，黑客将目标对准了可以访问内部工具的Twitter员工。他们中的一些人是该部门的一部分，部分负责回应敏感的全球法律请求，如法院命令或内容删除请求，以及制定和执行禁止滥用网络行为的政策。

在获得控制Twitter用户帐户的能力后，黑客首先将重点放在所谓的“原始黑帮”(“OG”)Twitter用户名上，这些用户名通常由单个单词、字母或数字指定，并被Twitter的早期用户采用。因为他们是后来用户梦寐以求的在线可信度标志，任何能成功劫持OG用户名的人都有可能以数千美元的价格出售访问权限。

在大约凌晨3点之间。上午10点。2020年7月15日，据称黑客通过在线聊天消息讨论了用OG Twitter用户名换取比特币的问题，Twitter证实，这导致了多个账户的泄露。[28]然而，很快，黑客转向更公开的方式来展示他们成功渗透到Twitter的内部系统。就在下午2点之前。7月15日，黑客劫持了多个OG Twitter账户，并将其中一个内部工具的屏幕截图从一些账户发送给了这些账户各自的追随者。[29][29]。

在最初的渗透之后，黑客们升级了Twitter黑客攻击。值得注意的是，在这一阶段，黑客的目标是“经过验证的”账户，Twitter将其定义为“一个公共利益账户”，通常“由音乐、表演、时尚、政府、政治、宗教、新闻、媒体、体育、商业和其他关键兴趣领域的用户维护”。经验证的帐户由bl表示。

.