Graham Ivan Clark 的 $110K Twitter 黑客事件：當一名少年智取全球最大社交網絡

當2020年7月15日網路停止運作時，沒有人預料到肇事者竟是一個剛拿到駕照的年輕人。Graham Ivan Clark並不是某個地下駭客集團的神祕人物，他只是一個來自佛羅里達坦帕的窮少年——手上只有一台筆記型電腦、一支手機，以及有膽量攻陷全球最強大平台之一的勇氣。他的成就之所以非凡，不在於技術的奇技淫巧，而在於他對社會工程學的精通——操縱人性本身的藝術。

誰是Graham Ivan Clark？Twitter史上最嚴重安全漏洞的少年主角

Graham Ivan Clark成長在破碎的環境中。沒有穩定的家庭，沒有錢，也沒有正當的前途。大多數少年用打電動來娛樂，但他卻用來牟利——結交玩家、販售遊戲內物品、盜取付款、然後消失。當YouTuber試圖揭露他的詐騙計畫時，他則反擊，入侵他們的頻道。

15歲時，Clark已經晉升到暗網論壇，交易被盜社交媒體帳號如同貨幣。他加入了OGUsers，一個臭名昭著的帳號交易與駭客社群。但Clark並未學會程式碼，他學會了說服、施壓與欺騙。這些技能比任何程式知識都更危險。

16歲時，Clark發現了SIM卡交換技術——他會打電話給電信公司代表，冒充帳號持有人，說服員工將電話號碼轉移到自己的裝置。這一招打開了通往電子郵件帳號、加密貨幣錢包與銀行帳戶的門。他的受害者包括公開炫耀持有比特幣的富有加密貨幣投資者。一位風險投資家Greg Bennett醒來時，發現超過一百萬美元的比特幣不翼而飛。當他試圖聯絡竊賊時，回應卻令人毛骨悚然：威脅他的家人。

這些成功讓Clark的自尊心膨脹。他開始詐騙自己的犯罪夥伴，結果被對方曝光（doxxing）並出現在他家門口。線下生活逐漸惡化——牽扯黑幫、涉毒、暴力升級。一次交易失敗，他的朋友被槍殺。Clark逃跑，儘管捲入事件，仍幸存下來。

2020年7月攻擊：Graham Ivan Clark如何入侵130個驗證帳號

到2019年，警方突襲Clark的住所，查獲價值近400萬美元的比特幣（約合400萬美元）。他與警方達成和解，退還100萬美元。由於他仍是未成年人，剩餘的加密貨幣依法由他保留。但17歲的Clark不滿足於藏匿贓款，他想證明一件不可能的事：他能滲透全球最安全的社交媒體公司。

在COVID-19疫情期間，Twitter的員工轉為遠端工作。員工從家庭網路登入，使用個人裝置管理帳號，並遵守為辦公室環境設計的安全規範。Graham Ivan Clark與同夥研究這個漏洞，他們冒充Twitter內部技術支援團隊，打電話給員工，聲稱緊急需要重設登入，並寄出逼真的假公司登入入口。數十名員工上當。

逐步地，這些少年利用內部系統擴展存取權限。他們收集憑證，橫向滲透網路，最終找到所謂的「神模式」（God mode）帳號——一個能重設任何用戶密碼的超級管理面板。在數小時內，兩名少年控制了130個全球最具影響力的帳號。

社會工程勝過程式碼：Graham Ivan Clark的武器是心理學

接下來的事情震驚了整個網路世界。2020年7月15日晚上8點，來自Elon Musk、Barack Obama、Bill Gates、Apple、Uber和Joe Biden的驗證帳號發出相同訊息：

「寄我1,000美元比特幣，我會回寄你2,000美元。」

網路瞬間陷入癱瘓。名人驚慌失措。市場觀察者屏住呼吸。幾分鐘內，超過11萬美元的比特幣湧入Clark與同夥控制的錢包。Twitter的安全團隊緊急應對。數小時內，平台做出史無前例的行動：全球封鎖所有驗證帳號——這在公司歷史上從未有過。

駭客本可以造成更大破壞。他們擁有散佈假消息崩潰市場、洩露世界領袖私密訊息、播出假戰爭警報或竊取數十億資金的能力。結果，他們只取走了加密貨幣。這11萬美元的數額，對於他們的存取權來說，根本微不足道。他們真正追求的是權力——操控全球最大喇叭的能力，並證明系統是脆弱的。

被逮捕到獲釋：Graham Ivan Clark意外輕判

FBI只用兩週時間追蹤到Graham Ivan Clark。IP記錄連結到攻擊行為，Discord訊息揭露了他的通訊，SIM資料追蹤他的手機活動。聯邦檢察官起訴他30項重罪，包括身份盜用、電信詐騙與未經授權的電腦存取——這些罪行最高可判處210年有期徒刑。

但結果令人驚訝。由於Clark仍是未成年人，聯邦檢方協商出少年判決。他在少年拘留所服刑3年，並獲得3年緩刑。這位入侵全球最強大社交平台的少年，在未滿21歲前就已經獲得自由。

諷刺的是：Graham Ivan Clark的遺產透過現代加密詐騙延續

如今，Graham Ivan Clark仍是自由身。他持有數百萬美元的加密貨幣，因為是未成年人且已服刑，基本上免於追蹤。他成功入侵Twitter，甚至在平台改名為X後，仍在其中。

令人苦笑的是？他曾攻陷的X平台——如今每天都充斥著用相同手法的加密詐騙。相同的社會工程策略、心理操控、信任與緊迫感的利用，讓Graham Ivan Clark一夜成名的手段，仍在無數普通用戶身上重演。

Graham Ivan Clark的入侵揭示了現代安全的真相

Graham Ivan Clark證明了一個永恆不變的事實：你不需要高深的技術，也能攻破龐大的系統。你只需懂得人類在壓力下的行為。

社會工程成功的原因在於：

• 緊迫感造成盲點。 真正的組織很少會在未驗證的情況下要求立即行動
• 權威引發服從。 人們相信內部支援團隊不會犯詐騙
• 熟悉感建立信任。 稍作修改的官方渠道能騙過大多數員工
• 大多數安全措施是技術性的，而攻擊則是心理戰。 最強的防火牆也無法保護相信自己在遵守規範的員工

保護自己免受類似攻擊的建議：

• 透過官方渠道驗證請求，勿用來電號碼或連結，不要相信來自陌生人的訊息
• 絕不與任何人分享帳號、驗證碼或認證令牌，不論對方聲稱的身份多麼可信
• 質疑驗證帳號的聲稱——它們最容易被冒充，且破壞力最大
• 在輸入登入資訊前仔細檢查網址——社會工程師會精準模仿官方網站
• 認識到恐懼與貪婪比任何技術漏洞都更容易被利用

Graham Ivan Clark的入侵證明，現代安全不再只仰賴複雜技術，更依賴組織文化——質疑、驗證與保持健康的懷疑心。真正的弱點，從未在Twitter的程式碼中，而是在人的心理——正是這個目標，使得Graham Ivan Clark的攻擊如此致命且成功。