a hacker, aki ellopta a bizalmas Twitter dokumentumok használt jellemzője a Microsoft Hotmail eltéríteni egy alkalmazott munka e-mail fiókot, a helyszínen, hogy közzétette néhány Twitter dokumentumok mondta vasárnap.
a TechCrunch szerint az a webhely, amely a múlt héten megtörte a Twitter megsértésének történetét, és közzétette az ellopott információk egy részét, a magát Hacker Crollnak nevező hacker kihasználta a gyenge jelszógyakorlatokat, a Hotmail inaktív fiókfunkcióját és személyes adatait az interneten, hogy több száz Twitter-dokumentumot csípjen be.
a TechCrunch azt mondta, hogy meggyőzte Croll hackert, hogy tegye közzé a támadás részleteit, és több napos beszélgetések során nemcsak az eredeti rést tudta összerakni, hanem azt is, hogy bizonyos információk lehetővé tették számára, hogy kompromittálja Evan Williams, a Twitter vezérigazgatója és egyik társalapítója, Biz Stone e-mail fiókjait.
Croll Hacker először feltörte egy Twitter-alkalmazott személyes Gmail-fiókját-a múlt héten Stone azonosította a személyt a vállalat adminisztratív asszisztenseként-a fiók jelszavának visszaállításával. Ehhez a Hacker Crollnak meg kellett válaszolnia egy vagy több személyes kérdést, amelyet a felhasználó hitelesítésére használtak. A TechCrunch szerint Croll Hacker korábban kutatta ezt az alkalmazottat, mások pedig a Twitteren, az Interneten keresztül ásva a valószínű válaszokat.
biztonsági szakértők a múlt héten azt feltételezték, hogy ugyanaz a folyamat, amelyet egy Tennessee főiskolai hallgató használt az alaszkai kormányzó Sarah Palin Yahoo e-mail fiókjának feltörésére, a Twitter megsértésének gyökere volt.
“a gyenge jelszavakról, amelyek könnyen kitalálhatók, óriási mértékben hozzájárulva az emberek azon szokásához, hogy online információkat helyeznek el, amelyeket egyébként nem osztanának meg senkivel, csak a legközelebbi barátaikkal” – mondta Sam Masiello, az MX Logic információbiztonsági alelnöke a múlt héten egy interjúban. “Nem nehéz feltörni a közösségi oldalakon szabadon elérhető információkat.”
ezen a ponton, bár Croll Hacker irányította a Twitter alkalmazott személyes Gmail-fiókját, nem tudta elrejteni a nyomait, mivel a felhasználó gyorsan tudta volna, hogy valami nincs rendben, amikor legközelebb megpróbál bejelentkezni a Gmailbe, és visszautasították.
“a jelszó visszaállításának kérésekor a Gmail arról tájékoztatott, hogy e-mailt küldtek a felhasználó másodlagos e-mail fiókjába” – írta a TechCrunch nik Cubrilovic. “A Gmail tippet adott arra vonatkozóan, hogy melyik fiókba küldik a jelszó visszaállításához szükséges e-mailt, arra az esetre, ha a felhasználónak szelíd emlékeztetőre lenne szüksége. Ebben az esetben a másodlagos e-mail fiók helyére mutató elhomályosított mutató a következő volt: ******@h*******. com.”
Hacker Croll arra a következtetésre jutott, hogy a fiók a Hotmailen található, majd megpróbálta visszaállítani a jelszót ezen a fiókon is. A Hotmail-fiók azonban inaktív volt – a Microsoft gyakorlata, amelynek célja az alvó fiókok újrahasznosítása -, amely lehetővé tette számára az inaktív Hotmail-fiók regisztrálását. Visszatért a Gmailbe, majd ismét átment a jelszó-helyreállítási folyamaton, megadva a saját jelszavát. Az új jelszót ezután elküldték az éppen eltérített Hotmail-fiókba. “Néhány pillanat alatt hozzáférhetett egy Twitter alkalmazott személyes Gmail-fiókjához” – magyarázta Cubrilovic. “Az első dominó elesett.”
Hacker Croll most irányította a Twitter adminisztratív asszisztens Gmail-fiókját, de a jelszavával, nem a törvényes felhasználó által ismert jelszóval. A hackernek vissza kellett állítania a jelszót az eredetire, hogy titokban tartsa az eltérítését.
onnan, mondta Cubrilovic, ez többnyire digitális lábmunka volt. Hacker Croll böngészett a Twitter munkavállaló Gmail fiókot, és talált több jelszót megerősítő üzeneteket más weboldalak és szolgáltatások, majd állítsa vissza a fiókot egy jelszót, hogy megjelent több ilyen üzeneteket. Ez volt, sőt, az eredeti jelszót; Hacker Croll volt képes figyelemmel kísérni a számla, olvassa el az üzeneteket, majd töltse le a mellékleteket, anélkül, hogy bárki a bölcsebb.
“Croll Hacker ezután ugyanazt a jelszót használta, hogy hozzáférjen a Google Apps-en dolgozó alkalmazotthoz, aki hozzáférést kapott az e-mailekből és különösen az e-mail mellékletekből származó érzékeny vállalati információk aranybányájához” – írta cubrilovic. Az aranybánya részét képezték más Twitter-alkalmazottak felhasználónevei és jelszavai, amelyeket Croll Hacker többek között Williams és Stone munkahelyi e-mail fiókjainak feltörésére használt.
Cubrilovic szerint a feltört alkalmazott egy jelszó az összes webhelyhez szokása nem volt ritka a Twitteren. “A Twitter legtöbb alkalmazottja ugyanazt a jelszót használta a Google Apps e-mail fiókjához (a Twitter e-mail fiókjához), mint a személyes Gmail-fiókhoz” – mondta.
a múlt héten Masiello arra buzdította a felhasználókat, hogy hozzanak létre erősebb jelszavakat-alfanumerikus és speciális karakterek keverékét, mint például a “#” és a “&” -, és minden szolgáltatáshoz vagy webhelyhez különböző jelszavakat használjanak. De nem volt optimista, hogy a tanácsai hazaérnek. “Úgy gondolom, hogy ennél az esetnél sokkal többre lesz szükség az emberek meggyőzéséhez” – mondta. “Ez csak azt mutatja, hogy annak ellenére, hogy évek óta erős és többszörös jelszavakról beszélünk, az emberek még mindig nem fogták fel.”
a Twitter jogi lépésekkel fenyegetett az ellopott dokumentumokat közzétevő oldalak, köztük a TechCrunch ellen, de a jogi szakértők a múlt héten figyelmeztették, hogy nehéz megjósolni, hogy sikerül-e.