Le pirate informatique qui a volé des documents confidentiels de Twitter a utilisé une fonctionnalité de Hotmail de Microsoft pour détourner le compte de messagerie professionnelle d’un employé, a déclaré dimanche le site qui a publié certains des documents Twitter.
Selon TechCrunch, le site Web qui a révélé la semaine dernière l’histoire de la violation de Twitter et a publié certaines des informations volées, le pirate se faisant appeler Hacker Croll a profité de mauvaises pratiques de mot de passe, de la fonction de compte inactif de Hotmail et des informations personnelles sur le Web pour pincer des centaines de documents Twitter.
TechCrunch a déclaré avoir convaincu le hacker Croll de divulguer les détails de son attaque, et au cours de conversations de plusieurs jours, il a pu reconstituer non seulement la violation initiale, mais comment certaines informations qu’il avait obtenues lui ont permis de compromettre les comptes de messagerie d’Evan Williams, PDG de Twitter, et l’un de ses co-fondateurs, Biz Stone.
Le pirate Croll a d’abord saisi le compte Gmail personnel d’un employé de Twitter week la semaine dernière, Stone a identifié la personne comme une assistante administrative de l’entreprise by en réinitialisant le mot de passe du compte. Pour ce faire, le hacker Croll devait répondre à une ou plusieurs questions personnelles utilisées pour authentifier l’utilisateur. Selon TechCrunch, le pirate informatique Croll avait déjà fait des recherches sur cet employé, et d’autres sur Twitter, en fouillant sur Internet pour trouver des réponses probables.
Des experts en sécurité ont émis l’hypothèse la semaine dernière que le même processus utilisé par un étudiant du Tennessee pour pénétrer dans le compte de messagerie Yahoo de la gouverneure de l’Alaska Sarah Palin était à l’origine de la violation de Twitter.
« à propos des mots de passe faibles qui sont facilement devinables, avec une énorme contribution de l’habitude des gens de mettre en ligne des informations qu’ils ne partageraient autrement avec personne d’autre que leurs amis les plus proches », a déclaré Sam Masiello, vice-président de la sécurité de l’information chez MX Logic la semaine dernière dans une interview. « Il n’est pas difficile de craquer avec les informations que vous pouvez trouver gratuitement sur les sites de réseaux sociaux. »
À ce moment-là, bien que le pirate informatique Croll ait le contrôle du compte Gmail personnel de l’employé de Twitter, il ne pouvait pas cacher ses traces, car l’utilisateur aurait rapidement su que quelque chose n’allait pas la prochaine fois qu’il essayait de se connecter à Gmail, et a été repoussé.
« En demandant à récupérer le mot de passe, Gmail a informé qu’un e-mail avait été envoyé au compte de messagerie secondaire userÄôs », a écrit Nik Cubrilovic de TechCrunch. « Gmail a donné un indice sur le compte auquel l’e-mail pour réinitialiser le mot de passe était envoyé, au cas où l’utilisateur aurait besoin d’un rappel doux. Dans ce cas, le pointeur obscurci vers l’emplacement du compte de messagerie secondaire était ****** @ h ******.com. »
Le pirate Croll a déduit que le compte était sur Hotmail, puis a tenté de récupérer le mot de passe sur ce compte également. Le compte Hotmail était cependant inactif – une pratique de Microsoft conçue pour recycler les comptes dormants – ce qui lui a permis d’enregistrer le compte Hotmail inactif. Il est retourné à Gmail et a de nouveau suivi le processus de récupération du mot de passe, en spécifiant son propre mot de passe. Le nouveau mot de passe a ensuite été envoyé au compte Hotmail qui vient d’être détourné. « En quelques instants, j’ai eu accès au compte Gmail personnel d’un employé de Twitter », a expliqué Cubrilovic. » Le premier domino était tombé. »
Le pirate Croll contrôlait désormais le compte Gmail de l’assistant administratif de Twitter, mais avec son mot de passe, pas celui connu par l’utilisateur légitime. Le pirate a dû réinitialiser le mot de passe à l’original afin de garder son détournement secret.
À partir de là, a déclaré Cubrilovic, il s’agissait principalement de travaux numériques. Hacker Croll a parcouru le compte Gmail du travailleur Twitter et a trouvé plusieurs messages de confirmation de mot de passe provenant d’autres sites Web et services, puis a réinitialisé le compte à l’aide d’un mot de passe apparu dans plusieurs de ces messages. C’était en fait le mot de passe d’origine; le pirate Croll a pu surveiller le compte, lire ses messages et télécharger ses pièces jointes, le tout sans que personne ne soit plus sage.
« Le pirate informatique Croll a ensuite utilisé le même mot de passe pour accéder à l’e-mail Twitter des employés sur Google Apps, accédant à une mine d’or d’informations sensibles sur l’entreprise à partir d’e-mails et, en particulier, de pièces jointes à des e-mails », a écrit Cubrilovic. Inclus dans cette mine d’or étaient les noms d’utilisateur et les mots de passe d’autres employés de Twitter, que le pirate informatique Croll utilisait pour pénétrer dans les comptes de messagerie de Williams et Stone, entre autres.
Selon Cubrilovic, l’habitude d’un mot de passe pour tous les sites de l’employé piraté n’était pas rare chez Twitter. « La plupart / tous les employés de Twitter ont utilisé le même mot de passe pour leur messagerie Google Apps (le compte de messagerie Twitter) que pour leur compte Gmail personnel », a-t-il déclaré.
La semaine dernière, Masiello a exhorté les utilisateurs à créer des mots de passe plus forts – un mélange de caractères alphanumériques et spéciaux, tels que « # » et « & », par exemple – et à utiliser des mots de passe différents pour chaque service ou site. Mais il n’était pas optimiste que ses conseils arriveraient à la maison. « Je pense qu’il faudra beaucoup plus que cet incident pour convaincre les gens », a-t-il déclaré. « Cela montre que même si nous parlons de mots de passe forts et multiples depuis des années, les gens n’ont toujours pas compris. »
Twitter a menacé de poursuites judiciaires contre les sites, y compris TechCrunch, qui ont publié les documents volés, mais les experts juridiques ont averti la semaine dernière qu’il était difficile de prédire s’il réussirait.