你有没有注意到，最大的安全漏洞并不总是出在复杂的代码上？我在看一个案例，它完美证明了这一点——说实话，真是离谱。

所以在2020年7月，Twitter彻底遭到入侵。但并不是被什么精英的俄罗斯网络部队，或者什么复杂的APT组织搞的。是一个少年。一个来自佛罗里达州坦帕的17岁少年，名叫Graham Ivan Clark——几乎只有一台笔记本电脑、一部手机，以及足以让硅谷都出汗的胆量。

事情经过是这样的：7月15日，经过验证的账号开始发布完全相同的消息。Elon Musk、Obama、Bezos、Apple、Biden——全都说着同一句话：发送比特币，就能双倍返还。看起来很荒谬，对吧？就像一眼就能看穿的骗局。但人们确实上当了。几分钟内，超过$110,000 worth的比特币涌入了各个钱包。Twitter不得不在全球范围内关闭所有经过验证的账号——这在此前从未发生过。

最疯狂的是？Graham Ivan Clark根本不需要成为什么大师级程序员。他没有破解加密，也没有利用零日漏洞。他只是打电话给Twitter员工，假装成IT支持，并让他们重置凭据。在COVID封锁期间，大家都在家办公，用个人设备登录。社会工程学几乎简单到令人有点尴尬。他和一名同伙在内部层级中一路攀升，直到找到一个“上帝模式”（God mode）账号，让他们能够控制平台上最强大的130个账号。

在那次黑客行动之前，Graham就已经做了多年的诈骗生意。最开始从Minecraft账号起步，后来转向SIM卡交换——也就是说服电话公司把其他人的号码控制权交到他手里。正是靠这个，他才能进入加密钱包和电子邮件账户。有一位名叫Greg Bennett的风险投资人醒来时发现，超过$1 million的比特币不见了。当受害者试图协商时，他们遭到了威胁：要对他们的家人下手。

他线下的生活同样混乱：帮派牵连、毒品交易、背叛。他还骗了自己那些黑客同伙。警方在2019年突袭他的公寓时，发现了400 BTC——当时大约价值$4 million。他谈判着要把$1 million归还，以“结案”，并且不知怎么把剩下的都留了下来。因为他还是未成年人，系统就允许他带着数百万就此脱身。

当FBI在Twitter遭黑之后最终抓到他时，他们手里掌握了一切——IP日志、Discord消息、SIM数据。他面临30项重罪指控，可能要被判210年。但因为他是未成年人，他达成了协议：在少年监狱关押3年，之后缓刑3年。他在17岁时黑了这个世界上最大的扩音器（megaphone）。他20岁时才出狱。

真正让人不安的是，这件事如今仍然具有极强的现实意义。Graham Ivan Clark证明了一件骗子们早就知道的事——如果你能骗过掌控系统的人，你根本不需要去破解系统。今天，X上充斥着与当初让他发家致富的同样的加密骗局。也是同样的社会工程学手段。也是同样的心理操纵。

这里真正的教训并不在技术层面，而在于我们每个人对情绪有多脆弱：恐惧、贪婪、信任——这些才是真正的漏洞。当有人制造紧迫感，当他们打动你的钱包或自尊，当他们听起来足够“官方”的时候，大多数人都不会再多想。Graham Ivan Clark不需要当什么天才黑客。他只是比人们理解自己更懂人性。