den hacker, der stjal fortrolige kvidre dokumenter brugt en funktion af Microsofts Hotmail at kapre en medarbejders arbejde e-mail-konto, det sted, der har offentliggjort nogle af kvidre dokumenter sagde søndag.
ifølge TechCrunch, hjemmesiden, der i sidste uge brød historien om kvidre brud og har lagt nogle af de stjålne oplysninger, hackeren kalder sig Hacker Croll udnyttede dårlig adgangskode praksis, Hotmails inaktive konto funktion og personlige oplysninger på nettet til at knibe hundredvis af kvidre dokumenter.
TechCrunch sagde, at det overbeviste Hacker Croll om at afsløre detaljerne om hans angreb, og i løbet af flere dages samtaler var det i stand til at samle ikke kun det oprindelige brud, men hvordan nogle oplysninger, han fik, tillod ham at kompromittere e-mail-konti for Evan.
Hacker Croll først jacked den personlige Gmail-konto af en kvidre medarbejder-i sidste uge Stone identificeret personen som en administrativ assistent med virksomheden-ved at nulstille kontoens adgangskode. For at gøre det måtte Hacker Croll besvare et eller flere personlige spørgsmål, der blev brugt til at godkende brugeren. Ifølge TechCrunch havde Hacker Croll tidligere undersøgt denne medarbejder og andre på Kvidre ved at grave gennem internettet for sandsynlige svar.
sikkerhedseksperter i sidste uge spekulerede i, at den samme proces, der blev brugt af en Tennessee college-studerende til at bryde ind i Alaska Gov. Sarah Palins Yahoo-e-mail-konto, var roden til Kvidrebruddet.
” om svage adgangskoder, der let kan gættes, med et enormt bidrag fra folks vane med at lægge onlineoplysninger, som de ellers ikke ville dele med andre end deres nærmeste venner,” sagde Sam Masiello, vicepræsident for informationssikkerhed hos
på det tidspunkt, selvom Hacker Croll havde kontrol over kvidre medarbejderens personlige Gmail-konto, kunne han ikke skjule sine spor, da brugeren hurtigt ville have vidst, at noget var galt næste gang han eller hun forsøgte at logge på Gmail og blev afvist.
“da Gmail anmodede om at gendanne adgangskoden, informerede Gmail om, at der var sendt en e-mail til den sekundære e-mail-konto,” skrev TechCrunch ‘ s Nik Cubrilovic. “Gmail tilbød et tip om, hvilken konto e-mailen, der skulle nulstilles adgangskoden, blev sendt til, i tilfælde af at brugeren krævede en blid påmindelse. I dette tilfælde var Den tilslørede markør til placeringen af den sekundære e-mail-konto ******@h******.com.”
Hacker Croll udledte, at kontoen var på Hotmail, og forsøgte derefter også at gendanne adgangskoden på den konto. Hotmail-kontoen var imidlertid inaktiv – en Microsoft-praksis designet til at genbruge sovende konti-som gjorde det muligt for ham at registrere den inaktive Hotmail-konto. Han vendte tilbage til Gmail og gennemgik igen adgangskodegendannelsesprocessen og specificerede en egen adgangskode. Den nye adgangskode blev derefter sendt til den netop kaprede Hotmail-konto. “Inden for få øjeblikke havde adgang til den personlige Gmail-konto af en kvidre medarbejder,” forklarede Cubrilovic. “Den første domino var faldet.”
Hacker Croll havde nu kontrol over den administrative assistents Gmail-konto, men med hans adgangskode, ikke den, der er kendt af den legitime bruger. Hackeren måtte nulstille adgangskoden til originalen for at holde hans kapring hemmelig.
derfra, sagde Cubrilovic, var det for det meste digitalt benarbejde. Hacker Croll gennemset kvidre arbejdstagerens Gmail-konto og fundet flere adgangskode bekræftelsesmeddelelser fra andre hjemmesider og tjenester, derefter nulstille kontoen ved hjælp af en adgangskode, der dukkede op i flere sådanne meddelelser. Det var faktisk den oprindelige adgangskode; Hacker Croll var i stand til at overvåge kontoen, læse dens meddelelser og hente dens vedhæftede filer, alt uden nogen klogere.
“Hacker Croll brugte derefter den samme adgangskode til at få adgang til medarbejderens e-mail på Google Apps og få adgang til en guldmine med følsomme virksomhedsoplysninger fra e-mails og især e-mail-vedhæftede filer,” skrev cubrilovic. Inkluderet i den guldmine var brugernavne og adgangskoder til andre kvidre-medarbejdere, som Hacker Croll plejede at bryde ind i arbejds-e-mail-konti for blandt andre.
ifølge Cubrilovic, en-adgangskode-for-alle-sites vane hacket medarbejder var ikke ualmindeligt på kvidre. “De fleste / alle kvidre medarbejdere brugte den samme adgangskode til deres Google Apps e-mail (kvidre e-mail-konto) som gjorde med personlig Gmail-konto,” sagde han.
i sidste uge opfordrede Masiello brugerne til at oprette stærkere adgangskoder-en blanding af alfanumeriske og specialtegn, såsom “#” og “&”, for eksempel-og bruge forskellige adgangskoder til hver tjeneste eller site. Men han var ikke optimistisk, at hans råd ville ramme hjem. “Jeg tror, det vil tage meget mere end denne hændelse at overbevise folk,” sagde han. “Det viser bare, at selvom vi har talt om stærke og flere adgangskoder i årevis, har folk stadig ikke fanget på.”
kvidre har truet retssager mod de steder, herunder TechCrunch, der har offentliggjort de stjålne dokumenter, men juridiske eksperter advarede i sidste uge, at det var svært at forudsige, om det ville lykkes.