El hacker que robó documentos confidenciales de Twitter usó una característica de Hotmail de Microsoft para secuestrar la cuenta de correo electrónico de trabajo de un empleado, dijo el domingo el sitio que ha publicado algunos de los documentos de Twitter.
De acuerdo con TechCrunch, el sitio web que la semana pasada publicó la historia sobre la brecha de Twitter y publicó parte de la información robada, el hacker que se hacía llamar Hacker Croll aprovechó las malas prácticas de contraseñas, la función de cuenta inactiva de Hotmail y la información personal en la Web para obtener cientos de documentos de Twitter.
TechCrunch dijo que convenció a Hacker Croll de divulgar los detalles de su ataque, y en el transcurso de varias conversaciones de días fue capaz de reconstruir no solo la brecha original, sino también cómo cierta información que obtuvo le permitió comprometer las cuentas de correo electrónico de Evan Williams, CEO de Twitter, y uno de sus cofundadores, Biz Stone.
El hacker Croll robó por primera vez la cuenta personal de Gmail de un empleado de Twitter, la semana pasada Stone identificó a la persona como asistente administrativo de la empresa, restableciendo la contraseña de la cuenta. Para hacer eso, el Hacker Croll tuvo que responder una o más preguntas personales utilizadas para autenticar al usuario. Según TechCrunch, el Hacker Croll había investigado previamente a este empleado, y a otros en Twitter, buscando respuestas probables en Internet.
Los expertos en seguridad especularon la semana pasada que el mismo proceso utilizado por un estudiante universitario de Tennessee para irrumpir en la cuenta de correo electrónico de Yahoo de la gobernadora de Alaska Sarah Palin estaba en la raíz de la brecha de Twitter.
» sobre contraseñas débiles que son fáciles de adivinar, con una gran contribución del hábito de las personas de poner información en línea que de otra manera no compartirían con nadie más que sus amigos más cercanos», dijo Sam Masiello, vicepresidente de seguridad de la información de MX Logic la semana pasada en una entrevista. «No es difícil descifrar la información que puedes encontrar de forma gratuita en las redes sociales.»
En ese momento, aunque el Hacker Croll tenía el control de la cuenta personal de Gmail del empleado de Twitter, no podía ocultar sus huellas, ya que el usuario habría sabido rápidamente que algo estaba mal la próxima vez que intentó iniciar sesión en Gmail, y fue rechazado.
«Al solicitar recuperar la contraseña, Gmail informó que se había enviado un correo electrónico a la cuenta de correo secundario de userÄôs», escribió Nik Cubrilovic de TechCrunch. «Gmail ofreció una pista sobre a qué cuenta se estaba enviando el correo electrónico para restablecer la contraseña, en caso de que el usuario necesitara un recordatorio suave. En este caso, el puntero ofuscado a la ubicación de la cuenta de correo electrónico secundaria era ******@h******.com.»
Hacker Croll dedujo que la cuenta estaba en Hotmail, y luego intentó recuperar la contraseña de esa cuenta también. Sin embargo, la cuenta de Hotmail estaba inactiva, una práctica de Microsoft diseñada para reciclar cuentas inactivas, lo que le permitió registrar la cuenta inactiva de Hotmail. Regresó a Gmail y de nuevo pasó por el proceso de recuperación de contraseñas, especificando una contraseña propia. La nueva contraseña se envió a la cuenta de Hotmail recién secuestrada. «En pocos momentos tuve acceso a la cuenta personal de Gmail de un empleado de Twitter», explicó Cubrilovic. «El primer dominó había caído.»
Hacker Croll ahora tenía el control de la cuenta de Gmail del asistente administrativo de Twitter, pero con su contraseña, no la conocida por el usuario legítimo. El hacker tuvo que restablecer la contraseña a la original para mantener su secuestro en secreto.
A partir de ahí, dijo Cubrilovic, fue principalmente trabajo de campo digital. El hacker Croll navegó por la cuenta de Gmail del trabajador de Twitter y encontró varios mensajes de confirmación de contraseña de otros sitios web y servicios, luego restableció la cuenta con una contraseña que apareció en varios mensajes de este tipo. Esa era, de hecho, la contraseña original; Hacker Croll pudo monitorear la cuenta, leer sus mensajes y descargar sus archivos adjuntos, todo sin que nadie lo supiera.
«El Hacker Croll usó la misma contraseña para acceder al correo electrónico de Twitter de los empleados en Google Apps, obteniendo acceso a una mina de oro de información confidencial de la empresa a través de correos electrónicos y, en particular, archivos adjuntos de correo electrónico», escribió Cubrilovic. En esa mina de oro se incluían los nombres de usuario y contraseñas de otros empleados de Twitter, que el Hacker Croll usaba para ingresar a las cuentas de correo electrónico de trabajo de Williams y Stone, entre otros.
Según Cubrilovic, el hábito de una contraseña para todos los sitios del empleado hackeado no era raro en Twitter. «La mayoría de los empleados de Twitter usaban la misma contraseña para su correo electrónico de Google Apps (la cuenta de correo electrónico de Twitter) que para su cuenta personal de Gmail», dijo.
La semana pasada, Masiello instó a los usuarios a crear contraseñas más seguras, una mezcla de caracteres alfanuméricos y especiales, como «#» y «&», por ejemplo, y usar contraseñas diferentes para cada servicio o sitio. Pero no era optimista de que su consejo fuera a golpear a casa. «Creo que se necesitará mucho más que este incidente para convencer a la gente», dijo. «Esto demuestra que, a pesar de que hemos estado hablando de contraseñas fuertes y múltiples durante años, la gente todavía no se ha dado cuenta.»
Twitter ha amenazado con emprender acciones legales contra los sitios, incluido TechCrunch, que han publicado los documentos robados, pero los expertos legales advirtieron la semana pasada que era difícil predecir si tendría éxito.