一名入侵Twitter网站上Google Apps软件并窃取超过300份私人公司文件的法国黑客日前透露了他作案的细节。根据TechCrunch的说法，这名黑客使用的是一种叫做"cracking"的方法，黑客以Hacker Croll的名字通过拖捕提供公开信息的网络来攻破Twitter的安全防御系统。最终Croll发现了我们很多人都会犯下的一个错误--即在所有的网站都使用同样的密码，这样Twitter网站就存在被攻击的安全风险。了解Hacker Croll是如何入侵安全系统的，想一想他的方法是否会让你的数字生活不堪一击。

    Croll入侵Twitter

    Hacker Croll首先是建立一个目标公司的简历，Twitter就是这样沦为他的攻击目标。基本上说，他编制了一个员工，公司岗位和他们相关电子邮件地址的列表。在基本信息汇总完毕后，Croll为他的每一位员工用他们的生日，宠物姓名等信息建立了一个小型档案。这些档案建立完毕后，他只是去挨个去敲门直到有人相信他。当他为Twitter员工的私人Gmail邮箱实施密码恢复流程后，问题就这样发生了。Croll发现与这名员工Gmail关联在一起的次级帐户是一个Hotmail邮箱。问题是Hotmial邮箱由于始终处于静止状态已经被删除和重复再用--这也是Hotail长期实行的政策。如今，Hacker Croll所有要做的事情就是为他自己重新注册Hotmail邮箱，返回然后恢复Gmail密码，然后Gmail会将密码重设信息直接发送到犯罪分子重新激活的邮箱当中。但是事情到此并没有结束。Gmail会要求Hacker Croll重新设置Twitter网站上员工私人电子邮箱的密码，然后Hacker Croll就这样做了。但是如今原来的用户被他们自己的邮箱账号拒之门外，邮箱被标注上明显的红色小旗作为警告。因此Croll所做的就是搜索Gmail本身的邮箱账号，查找此人其他活动服务的密码。然后他键入他所发现的常用密码，看看邮箱主人是否在正常使用他们的邮箱。目前Croll从屏幕背后访问Gmail邮箱，还能访问未经发现的信息。为了让使用起来更加方便，Twitter的员工通常在他们的业务邮箱和私人邮箱中使用同样的登录密码，因此黑客就可以轻而易举的入侵这两个邮箱。

    你会受到同样的攻击吗？

    令人担忧的是Croll使用的方法可能在每个人身上都会发生。笔者上周检查了自己的谷歌邮箱，发现自己也暴露在Twitter员工同样的安全风险之下。笔者很久以前就注册了Gmail账号，已经忘记了所有二级电子邮件地址的信息。就像Twitter的员工一样，和Gmail关联的二级电子邮件处于休眠状态，可能会被任何人重新注册。一切都改变了。笔者在自己的电子邮件中搜索用过的密码，困惑的是反馈回来很多结果。使用你最常用的密码在你的电子邮箱中进行搜索，看看结果会是什么。你可能会感到十分意外。但是黑客可能会有各种方法来获取你的信息。你曾经在Twitter这样的公共服务网站上收到过生日贺卡吗？你曾经向别人透露过电话号码或者任何其他信息吗？你的社交网站上有哪些信息？你的MySpace和Facebook帐户关闭了吗？或者任何人都可以在这些社交网站上通过搜索找到你吗？你的Facebook网页上有你的生日，你曾经上学的学校和宠物的名字吗？你母亲的娘家姓名（这是一个常见的安全提问）会通过你的社交网站帐户被发现吗？你使用的其他服务都是什么？如果你认为比人发现这些信息的可能性不大，那么在你所谓的"Deep Web"搜索引擎（比如说Pipl或Spokeo）上搜索你自己的信息，看看会发生什么。你可能会发现你自己都完全忘记的网上账户。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课