luottamuksellisia Twitter-asiakirjoja varastanut hakkeri käytti Microsoftin Hotmailin ominaisuutta kaapatakseen työntekijän työsähköpostitilin, joitakin Twitter-asiakirjoja julkaissut sivusto sanoi sunnuntaina.
Twitter-murrosta viime viikolla uutisoineen TechCrunchin mukaan Hacker Crolliksi itseään kutsuva hakkeri käytti hyväkseen huonoja salasanakäytäntöjä, Hotmailin toimimatonta tili-ominaisuutta ja henkilökohtaisia tietoja netissä nipistääkseen satoja Twitter-dokumentteja.
TechCrunch sanoi, että se sai Hacker Crollin paljastamaan hyökkäyksensä yksityiskohdat, ja useiden päivien keskustelujen aikana hän pystyi yhdistämään alkuperäisen murron lisäksi sen, miten hänen saamansa tiedot saivat hänet vaarantamaan Evan Williamsin, Twitterin toimitusjohtajan, ja yhden sen perustajista, Biz Stonen, sähköpostitilit.
hakkeri Croll kaappasi ensin Twitterin työntekijän henkilökohtaisen Gmail-tilin — viime viikolla Stone tunnisti henkilön yhtiön hallinnolliseksi avustajaksi — nollaamalla tilin salasanan. Sitä varten hakkeri Croll joutui vastaamaan yhteen tai useampaan henkilökohtaiseen kysymykseen, joita käytettiin käyttäjän todentamiseen. TechCrunchin mukaan hakkeri Croll oli aiemmin tutkinut kyseistä työntekijää ja muita Twitterissä kaivamalla internetistä todennäköisiä vastauksia.
tietoturva-asiantuntijat spekuloivat viime viikolla, että Twitter-murron taustalla oli sama prosessi, jolla Tennesseen yliopiston opiskelija murtautui Alaskan kuvernöörin Sarah Palinin Yahoo-sähköpostitilille.
” heikoista salasanoista, joita on helppo arvailla, ja valtava osuus on ihmisten tavasta laittaa verkkoon tietoa, jota he eivät muuten jakaisi muille kuin lähimmille ystävilleen”, MX Logicin tietoturvajohtaja Sam Masiello sanoi viime viikolla haastattelussa. ”Se ei ole vaikea murtaa tietoja, jotka löydät vapaasti saatavilla sosiaalisen verkostoitumisen sivustoja.”
siinä vaiheessa, vaikka Hacker Croll hallitsi Twitterin työntekijän henkilökohtaista Gmail-tiliä, hän ei voinut piilottaa jälkiään, koska käyttäjä olisi nopeasti tiennyt jonkin olevan vialla seuraavan kerran, kun hän yritti kirjautua Gmailiin, ja hänet torjuttiin.
”pyytäessään salasanan palauttamista Gmail ilmoitti, että useräôsin toissijaiselle sähköpostitilille oli lähetetty sähköposti”, kirjoitti TechCrunchin Nik Cubrilovic. ”Gmail tarjosi vihjeen siitä, mille tilille salasanan palauttamiseen tarkoitettu sähköposti oli lähetetty, mikäli käyttäjä tarvitsi lempeän muistutuksen. Tässä tapauksessa hämäävä osoitin toissijaisen sähköpostitilin sijaintiin oli ** * * * @h*****. com. ”
hakkeri Croll päätteli tilin olevan Hotmailissa ja yritti sitten palauttaa myös kyseisen tilin salasanan. Hotmail-tili oli kuitenkin passiivinen — Microsoft-käytäntö, joka on suunniteltu lepotilassa olevien tilien kierrättämiseen — jonka avulla hän pystyi rekisteröimään passiivisen Hotmail-tilin. Hän palasi Gmailiin ja kävi jälleen läpi salasanan palautusprosessin, tarkentaen oman salasanansa. Tämän jälkeen uusi salasana lähetettiin juuri kaapatulle Hotmail-tilille. ”Hetken päästä pääsi käsiksi Twitterin työntekijän henkilökohtaiseen Gmail-tiliin”, selitti Cubrilovic. ”Ensimmäinen domino oli kaatunut.”
Hacker Croll hallitsi nyt Twitterin hallintoavustajan Gmail-tiliä, mutta salasanallaan, joka ei ollut laillisen käyttäjän tiedossa. Hakkeri joutui palauttamaan salasanan alkuperäiseen pitääkseen kaappauksensa salassa.
sieltä se oli Cubrilovicin mukaan lähinnä digitaalista jalkatyötä. Hakkeri Croll selasi Twitter-työntekijän Gmail-tiliä ja löysi useita salasanavahvistusviestejä muilta verkkosivuilta ja palveluista, minkä jälkeen tili nollattiin useissa vastaavissa viesteissä esiintyneellä salasanalla. Se oli itse asiassa alkuperäinen salasana; hakkeri Croll pystyi valvomaan tiliä, lukemaan sen viestit ja lataamaan sen liitteet, kaikki ilman ketään viisaampaa.
”hakkeri Croll käytti sitten samaa salasanaa päästäkseen Google Appsin Twitter-sähköpostiin, saaden käsiinsä kultakaivoksen arkaluontoisia yrityksen tietoja sähköposteista ja erityisesti sähköpostin liitetiedostoista”, kirjoitti Cubrilovic. Kultakaivokseen kuuluivat muiden Twitterin työntekijöiden käyttäjätunnukset ja salasanat, joita hakkeri Croll käytti murtautuessaan muun muassa Williamsin ja Stonen työsähköpostitileille.
Cubrilovicin mukaan hakkeroidun työntekijän tapa käyttää yhtä salasanaa kaikille sivustoille ei ollut Twitterissä tavaton. ”Useimmat / kaikki Twitterin työntekijät käyttivät samaa salasanaa Google Apps-sähköpostiinsa (Twitter-sähköpostitili) kuin henkilökohtaisella Gmail-tilillä”, hän sanoi.
viime viikolla Masiello kehotti käyttäjiä luomaan vahvempia salasanoja — sekoitus aakkosnumeerisia ja erikoismerkkejä, kuten ” # ” ja ” &”, esimerkiksi — ja käyttämään eri salasanoja jokaiselle palvelulle tai Sivustolle. Hän ei kuitenkaan ollut optimistinen, että hänen neuvonsa osuisivat kohdalleen. ”Uskon, että ihmisten vakuuttamiseen tarvitaan paljon enemmän kuin tämä tapaus”, hän sanoi. ”Se vain osoittaa, että vaikka olemme puhuneet vahva ja useita salasanoja vuosia, ihmiset eivät ole vieläkään kiinni.”
Twitter on uhannut oikeustoimilla varastetut asiakirjat julkaisseita sivustoja, muun muassa Techcrunchia, vastaan, mutta lakiasiantuntijat varoittivat viime viikolla, että sen onnistumista on vaikea ennustaa.