Der Hacker, der vertrauliche Twitter-Dokumente gestohlen hat, nutzte eine Funktion von Microsofts Hotmail, um das Arbeits-E-Mail-Konto eines Mitarbeiters zu entführen, sagte die Website, die einige der Twitter-Dokumente veröffentlicht hat, am Sonntag.
Laut TechCrunch, der Website, auf der letzte Woche die Geschichte über den Twitter-Verstoß veröffentlicht und einige der gestohlenen Informationen veröffentlicht wurden, nutzte der Hacker, der sich Hacker Croll nannte, schlechte Passwortpraktiken, die inaktive Kontofunktion von Hotmail und persönliche Informationen im Internet, um Hunderte von Twitter-Dokumenten zu kneifen.
TechCrunch sagte, es habe Hacker Croll überzeugt, die Details seines Angriffs preiszugeben, und im Laufe von mehrtägigen Gesprächen konnte er nicht nur den ursprünglichen Verstoß zusammenstellen, sondern auch, wie einige Informationen, die er erhalten hatte, es ihm ermöglichten, die E-Mail-Konten von Evan Williams, dem CEO von Twitter, und einem seiner Mitbegründer, Biz Stone, zu kompromittieren.
Hacker Croll hat zuerst das persönliche Google Mail-Konto eines Twitter-Mitarbeiters aufgebockt – letzte Woche identifizierte Stone die Person als Verwaltungsassistentin des Unternehmens -, indem er das Passwort des Kontos zurücksetzte. Dazu musste Hacker Croll eine oder mehrere persönliche Fragen beantworten, die zur Authentifizierung des Benutzers verwendet wurden. Laut TechCrunch hatte Hacker Croll zuvor diesen Mitarbeiter und andere bei Twitter recherchiert, indem er im Internet nach wahrscheinlichen Antworten gesucht hatte.
Sicherheitsexperten spekulierten letzte Woche, dass der gleiche Prozess, der von einem Tennessee College-Studenten verwendet wurde, um in Alaskas Sarah Palins Yahoo E-Mail-Konto einzubrechen, die Wurzel der Twitter-Verletzung war.
“ über schwache Passwörter, die leicht zu erraten sind, mit einem großen Beitrag von der Gewohnheit der Menschen, Informationen online zu stellen, die sie sonst nur mit ihren engsten Freunden teilen würden“, sagte Sam Masiello, Vizepräsident für Informationssicherheit bei MX Logic letzte Woche in einem Interview. „Es ist nicht schwer, mit den Informationen zu knacken, die Sie auf Social-Networking-Sites frei verfügbar finden.“
Obwohl Hacker Croll zu diesem Zeitpunkt die Kontrolle über das persönliche Google Mail-Konto des Twitter-Mitarbeiters hatte, konnte er seine Spuren nicht verbergen, da der Benutzer beim nächsten Versuch, sich bei Google Mail anzumelden, schnell gewusst hätte, dass etwas nicht stimmte, und wurde abgewiesen.
„Auf Anfrage zur Wiederherstellung des Passworts teilte Google Mail mit, dass eine E-Mail an das sekundäre E-Mail-Konto von userÄôs gesendet wurde“, schrieb Nik Cubrilovic von TechCrunch. „Google Mail gab einen Hinweis darauf, an welches Konto die E-Mail zum Zurücksetzen des Kennworts gesendet wurde, falls der Benutzer eine sanfte Erinnerung benötigte. In diesem Fall war der verschleierte Zeiger auf den Speicherort des sekundären E-Mail-Kontos ******@h******.com.“
Hacker Croll folgerte, dass sich das Konto in Hotmail befand, und versuchte dann, das Kennwort für dieses Konto wiederherzustellen. Das Hotmail-Konto war jedoch inaktiv – eine Microsoft-Praxis, die ruhende Konten recyceln sollte -, die es ihm ermöglichte, das inaktive Hotmail-Konto zu registrieren. Er kehrte zu Google Mail zurück und durchlief erneut den Kennwortwiederherstellungsprozess, wobei er ein eigenes Kennwort angab. Das neue Passwort wurde dann an das gerade entführte Hotmail-Konto gesendet. „Innerhalb weniger Augenblicke hatte Zugriff auf das persönliche Google Mail-Konto eines Twitter-Mitarbeiters“, erklärte Cubrilovic. „Der erste Domino ist gefallen.“
Hacker Croll hatte jetzt die Kontrolle über das Google Mail-Konto des Twitter-Verwaltungsassistenten, jedoch mit seinem Passwort, das dem legitimen Benutzer nicht bekannt ist. Der Hacker musste das Passwort auf das Original zurücksetzen, um seine Entführung geheim zu halten.
Von dort, sagte Cubrilovic, war es meist digitale Beinarbeit. Hacker Croll durchsuchte das Google Mail-Konto des Twitter-Mitarbeiters und fand mehrere Passwortbestätigungsnachrichten von anderen Websites und Diensten. Das war in der Tat das ursprüngliche Passwort; Hacker Croll konnte das Konto überwachen, seine Nachrichten lesen und seine Anhänge herunterladen, ohne dass jemand klüger war.
„Hacker Croll verwendete dann dasselbe Passwort, um auf die Twitter-E-Mail des Mitarbeiters in Google Apps zuzugreifen und Zugriff auf eine Goldmine vertraulicher Unternehmensinformationen aus E-Mails und insbesondere E-Mail-Anhängen zu erhalten“, schrieb Cubrilovic. In dieser Goldmine waren die Benutzernamen und Passwörter anderer Twitter-Mitarbeiter enthalten, mit denen Hacker Croll unter anderem in die Arbeits-E-Mail-Konten von Williams und Stone eingebrochen war.
Laut Cubrilovic war die Gewohnheit des gehackten Mitarbeiters, ein Passwort für alle Websites zu verwenden, bei Twitter keine Seltenheit. „Die meisten Twitter-Mitarbeiter verwendeten dasselbe Passwort für ihre Google Apps-E-Mail (das Twitter-E-Mail-Konto) wie für ihr persönliches Google Mail-Konto“, sagte er.
Letzte Woche forderte Masiello die Benutzer auf, stärkere Passwörter zu erstellen – eine Mischung aus alphanumerischen und Sonderzeichen wie „#“ und „&“ – und für jeden Dienst oder jede Site unterschiedliche Passwörter zu verwenden. Aber er war nicht optimistisch, dass sein Rat zu Hause ankommen würde. „Ich denke, es wird viel mehr als diesen Vorfall brauchen, um die Leute zu überzeugen“, sagte er. „Es zeigt nur, dass, obwohl wir seit Jahren über starke und mehrere Passwörter sprechen, die Leute immer noch nicht verstanden haben.“
Twitter hat rechtliche Schritte gegen die Websites angedroht, einschließlich TechCrunch, die die gestohlenen Dokumente veröffentlicht haben, aber Rechtsexperten warnten letzte Woche, dass es schwer vorherzusagen sei, ob dies gelingen würde.