近日，谷歌旗下的网络安全公司Mandiant透露，其X账户遭到暴力破解攻击，黑客一度接管了其X账户并向该账户关注者发送加密货币诈骗链接。

据了解，事情发生在1月3日，当时黑客劫持了拥有超过12万关注者的Mandiant X账户，攻击者利用该账户宣传一个冒充Phantom加密服务的恶意网站。诈骗消息中声称免费向25万名幸运儿投放加密货币，诱使受害者将其钱包与之连接以接收代币，但实际上这些钓鱼页面加载了恶意的CLINKSINK JavaScript Drainer代码，进行的是窃取操作。

Mandiant公司于次日恢复了其账户，并在社交媒体上发布了一则消息：“如您所见，昨日Mandiant失去了对这个X账户的控制，该账户现在已启用了双因素认证。目前，除受影响的X账户外，没有任何恶意活动的迹象，我们已恢复对该账户的控制。一旦调查结束，我们将分享调查结果。”

1月11日，Mandiant在X上发推称：“我们已经完成了对上周Mandiant X账户被接管的调查，并确定这很可能是一次暴力密码攻击，仅限于这一个账户。”

Mandiant在另一则推文中解释问题出自其账户在双因素认证（2FA）上的配置错误，Mandiant承认过错，但同时也指出X应对此负有责任：

“通常情况下，双因素认证可以减轻这种情况，但由于一些团队过渡和X的双因素认证政策的变更，我们没有得到充分的保护。我们已经对我们的流程进行了更改，以确保这种情况不会再次发生。”

据了解，双因素认证最近成为了X高级订阅用户的专属功能，而在此之前，所有用户都可以启用双因素认证以增强安全性。双因素认证向来被认为是一项至关重要的安全措施，X的这一决定在用户群中引发了相当大的争议。

而在1月10日，美国证券交易委员会的X账户@SECGov同样遭到了黑客入侵，当时该账户被用来发布一则关于比特币交易所交易基金（ETFs）获批的假公告，导致比特币价格短暂飙升。在这一事件中，SEC的账户在被盗时同样没有启用双因素认证。

编辑：左右里

资讯来源：thehackernews、X

转载请注明出处和本文链接