hacker, který ukradl důvěrné dokumenty Twitter, použil funkci služby Microsoft Hotmail k únosu pracovního e-mailového účtu zaměstnance, web, který zveřejnil některé dokumenty Twitter, řekl v neděli.
Podle serveru TechCrunch web, který minulý týden přerušil příběh o porušení Twitteru a zveřejnil některé ukradené informace, hacker, který si říkal Hacker Croll, využil špatných postupů při zadávání hesel, funkce neaktivního účtu Hotmailu a osobních informací na webu, aby sevřel stovky dokumentů Twitter.
TechCrunch řekl, že přesvědčil hackera Crolla, aby prozradil podrobnosti svého útoku, a v průběhu několika dnů rozhovorů dokázal dát dohromady nejen původní porušení, ale jak mu některé informace, které získal, umožnily kompromitovat e-mailové účty Evana Williamse, generálního ředitele Twitteru a jednoho z jeho spoluzakladatelů Biz Stone.
Hacker Croll nejprve obešel osobní účet zaměstnance Twitteru-minulý týden Stone identifikoval osobu jako administrativního asistenta společnosti-resetováním hesla účtu. K tomu musel Hacker Croll odpovědět na jednu nebo více osobních otázek používaných k ověření uživatele. Podle TechCrunch, Hacker Croll předtím zkoumal tohoto zaměstnance, a další na Twitteru, kopáním přes Internet pro pravděpodobné odpovědi.
bezpečnostní experti minulý týden spekulovali, že stejný postup, jaký použil Student Tennessee college k vloupání do e-mailového účtu Yahoo aljašské guvernérky Sarah Palinové, byl příčinou narušení Twitteru.
„o slabých heslech, která lze snadno uhodnout, s obrovským příspěvkem ze zvyku lidí uvádět online informace,které by jinak nesdíleli s nikým jiným než se svými nejbližšími přáteli,“ řekl minulý týden v rozhovoru Sam Masiello, viceprezident pro informační bezpečnost v MX Logic. „Není těžké prolomit informace, které najdete volně dostupné na sociálních sítích.“
v tomto okamžiku, i když Hacker Croll měl kontrolu nad osobním účtem Gmail zaměstnance Twitteru, nemohl skrýt své stopy, protože uživatel by rychle věděl, že při příštím pokusu o přihlášení do Gmailu je něco špatně, a byl odmítnut.
“ po žádosti o obnovení hesla Gmail informoval, že na sekundární e-mailový účet uživatele byl zaslán e-mail,“ napsal Nik Cubrilovic z TechCrunch. „Gmail nabídl nápovědu, na který účet byl E-mail pro resetování hesla odeslán, pro případ, že by uživatel vyžadoval jemné připomenutí. V tomto případě byl zamlžený ukazatel na umístění sekundárního e-mailového účtu *******@h*****.com.“
Hacker Croll odvodil, že účet byl na Hotmailu, a poté se pokusil obnovit heslo také na tomto účtu. Účet služby Hotmail byl však neaktivní – praxe společnosti Microsoft určená k recyklaci spících účtů – což mu umožnilo zaregistrovat neaktivní účet služby Hotmail. Vrátil se do Gmailu a znovu prošel procesem obnovení hesla a zadal své vlastní heslo. Nové heslo bylo poté odesláno na právě unesený účet Hotmail. „Během několika okamžiků měl přístup k osobnímu účtu Gmail zaměstnance Twitteru,“ vysvětlil Cubrilovic. „První domino padlo.“
Hacker Croll nyní měl kontrolu nad účtem Gmail administrativního asistenta Twitteru, ale s jeho heslem, nikoli heslem známým legitimním uživatelem. Hacker musel resetovat heslo na originál, aby udržel svůj únos v tajnosti.
odtud, řekl Cubrilovic, to bylo většinou digitální legwork. Hacker Croll procházel účet Gmail pracovníka Twitteru a našel několik zpráv o potvrzení hesla z jiných webových stránek a služeb, poté resetujte účet pomocí hesla, které se objevilo v několika takových zprávách. To bylo ve skutečnosti původní heslo; Hacker Croll byl schopen sledovat účet, číst jeho zprávy a stahovat jeho přílohy, to vše bez toho, aby byl někdo moudřejší.
“ Hacker Croll pak použil stejné heslo pro přístup k e-mailu zaměstnance na Twitteru v aplikacích Google, čímž získal přístup ke zlatému dolu citlivých firemních informací z e-mailů a zejména e-mailových příloh,“ napsal Kubrilovič. Do tohoto zlatého dolu byla zahrnuta uživatelská jména a hesla dalších zaměstnanců Twitteru, kterými Hacker Croll mimo jiné pronikl do pracovních e-mailových účtů Williams a Stone.
podle Cubrilovic nebyl zvyk hacknutého zaměstnance na Twitteru neobvyklý. „Většina / všichni zaměstnanci Twitteru používali stejné heslo pro svůj e-mail Google Apps (e-mailový účet Twitter) jako u osobního účtu Gmail,“ řekl.
minulý týden Masiello vyzval uživatele, aby vytvořili silnější hesla – směs alfanumerických a speciálních znaků, například „#“ a „&“ – a používali různá hesla pro každou službu nebo web. Ale nebyl optimistický, že by jeho rada zasáhla domů. „Myslím, že to bude trvat mnohem víc než tento incident přesvědčit lidi,“ řekl. „Ukazuje to, že i když už roky mluvíme o silných a více heslech, lidé se stále nezachytili.“
Twitter pohrozil právními kroky proti webům, včetně TechCrunch, které zveřejnily ukradené dokumenty, ale právní experti minulý týden varovali, že je těžké předvídat, zda uspěje.