我一直告诉自己一切都很好,从统计数据来看,这没什么可羞耻的。即使是专家也会时不时地被黑客攻击。对于一个在网上花费大量时间的人来说,这是注定要发生的,其实,这种事没有早点发生才是令人惊讶的。
但我仍然感到被背叛。我感到内疚。我感到不安全。
这种内疚感很容易理解,我了解计算机安全,我知道我们的密码已经变得多么脆弱,我应该更早地意识到这一点。但我还是被黑客攻击了。所以,让我告诉你这件事的来龙去脉,以警告那些可能成为下一个受害者的人。
和世界上的大多数人一样,我通常会使用几个安全程度不同的密码。我刚开始上网的时候用过一个非常容易记住但不安全的密码(23.9熵位)。还有一个“更安全”的密码变体,使用数字和大写字母的组合(33-41 熵位)。还有一个使用特殊字符的长而复杂的密码(46 熵位)。除此之外,我还有一个使用不常见单词组合的长密码(47.4 熵位,没有xkcd推荐的那么高)。我相信我关心的大多数重要网站都是相对安全的,包括银行、游戏账户、电子邮件和一些存储信用卡信息的网站。
我错了,有一项重要的服务仍在使用安全级别最低的密码:Skype。大多数人倾向于免费使用 Skype,但该通信工具提供了一项有用的订阅服务,人们可以通过该服务向其账户充值,从而以具有竞争力的价格拨打国际号码。早在 2012 年 5 月,我就向我的账户充值了 10 美元,以便在旅途中拨打一些商务电话。我再也没有使用过这项服务,所以我忘记了我的账户中有任何余额。然而,更重要的是,我的信用卡详细信息仍然被保存着。
skype2
另一个重要事实是,去年我每次购买 Skype 信用点数时,Skype 都会默认启用自动从我的卡中扣款的选项,如果 Skype 信用点数过低的话:
skype1
2013 年 7 月 7 日,格林威治标准时间午夜过后四分钟,一名未经授权的 巴基斯坦手机数据 用户登录了我的账户,在近五个小时的时间里,向柬埔寨的手机和座机拨打了 151 通电话,总通话时间 149 分钟,花费 62 美元(见附件CSV 文件)。当 2 美元的起始信用额度用完后,我的卡被扣款六次,共计 60 美元。
skype3
此时信用额度已达到,然后服务开始拒绝后续的卡扣款尝试。
skype4
就在这时,Skype 发出了某种警报,并切断了对该服务的访问。第二天,当我尝试登录时,我才发现我的账户因可疑活动而被锁定,这让我很不愉快。我甚至没有想到自己受到了攻击,并认为 Skype 只是注意到有人试图从新位置的移动设备登录,并认为这是可疑的。直到我第一次验证失败后,我才意识到可能出了问题。在与 Skype 代表进行了长时间的交谈后,我得以登录并更改密码,直到那时我才知道发生了什么。必须说,Skype 非常有帮助,他们退还了我卡上的所有费用。虽然我认为他们的系统应该早点标记异常交易,但我还是很庆幸自己很幸运,没有受到太大的惩罚。
那么,这是怎么发生的?毫无疑问,我必须为密码级别低承担很大一部分责任。我不得不假设有一帮柬埔寨黑客在做这种事,因为我能够找到类似受害者的一些详细信息。但为什么是现在?他们之前是否已经破解过该帐户,只是在等我注销?我做了什么让黑客注意到我的事情吗?就在攻击前一天,我第一次在新 HTC One 手机上使用 Skype 应用程序,但我怀疑这只是一个巧合。事实是我中了黑客彩票,轮到我了。