L’hacker che ha rubato documenti riservati Twitter utilizzato una funzione di Hotmail di Microsoft per dirottare account di posta elettronica di lavoro di un dipendente, il sito che ha
Secondo TechCrunch, il sito Web che la scorsa settimana ha rotto la storia della violazione di Twitter e ha pubblicato alcune delle informazioni rubate, l’hacker che si fa chiamare Hacker Croll ha approfittato di pratiche di password scadenti, funzionalità di account inattivo di Hotmail e informazioni personali sul Web per pizzicare centinaia di documenti di Twitter.
TechCrunch ha detto che ha convinto Hacker Croll a divulgare i dettagli del suo attacco, e nel corso delle conversazioni di diversi giorni è stato in grado di mettere insieme non solo la violazione originale, ma come alcune informazioni ottenute gli hanno permesso di compromettere gli account di posta elettronica di Evan Williams, CEO di Twitter, e uno dei suoi co-fondatori,
Hacker Croll prima jacked l’account Gmail personale di un dipendente Twitter-la scorsa settimana Pietra identificato la persona come un assistente amministrativo con la società-reimpostando la password dell’account. Per fare ciò, Hacker Croll ha dovuto rispondere a una o più domande personali utilizzate per autenticare l’utente. Secondo TechCrunch, Hacker Croll aveva precedentemente ricercato questo dipendente, e altri a Twitter, scavando attraverso Internet per le risposte probabili.
Gli esperti di sicurezza la scorsa settimana hanno ipotizzato che lo stesso processo utilizzato da uno studente del Tennessee college per entrare nell’account di posta elettronica Yahoo del governatore dell’Alaska Sarah Palin fosse alla radice della violazione di Twitter.
” a proposito di password deboli che sono facilmente intuibili, con un enorme contributo dall’abitudine delle persone di mettere online informazioni che altrimenti non condividerebbero con nessuno tranne i loro amici più cari”, Sam Masiello, vice presidente della sicurezza delle informazioni di MX Logic ha detto la scorsa settimana in un’intervista. “Non è difficile da decifrare con le informazioni che si possono trovare liberamente disponibili sui siti di social networking.”
A quel punto, anche se l’hacker Croll aveva il controllo dell’account Gmail personale del dipendente di Twitter, non poteva nascondere le sue tracce, poiché l’utente avrebbe saputo rapidamente che qualcosa non andava la prossima volta che lui o lei ha cercato di accedere a Gmail, ed è stato respinto.
“Alla richiesta di recuperare la password, Gmail ha informato che un’e-mail era stata inviata all’account e-mail secondario dell’utente”, ha scritto Nik Cubrilovic di TechCrunch. “Gmail ha offerto un suggerimento su quale account è stata inviata l’e-mail per reimpostare la password, nel caso in cui l’utente richiedesse un dolce promemoria. In questo caso il puntatore offuscato alla posizione dell’account di posta elettronica secondario era ******@h******.com.”
Hacker Croll dedotto che l’account era su Hotmail, e poi ha tentato di recuperare la password su tale account pure. L’account Hotmail era inattivo, tuttavia-una pratica Microsoft progettata per riciclare gli account dormienti-che gli ha permesso di registrare l’account Hotmail inattivo. Tornò a Gmail e di nuovo ha attraversato il processo di recupero della password, specificando una password propria. La nuova password è stata quindi inviata all’account Hotmail appena dirottato. “In pochi istanti ha avuto accesso all’account Gmail personale di un dipendente di Twitter”, ha spiegato Cubrilovic. “Il primo domino era caduto.”
Hacker Croll ora aveva il controllo dell’account Gmail dell’assistente amministrativo di Twitter, ma con la sua password, non quella conosciuta dall’utente legittimo. L’hacker ha dovuto reimpostare la password all’originale per mantenere il segreto del dirottamento.
Da lì, ha detto Cubrilovic, è stato per lo più legwork digitale. Hacker Croll sfogliato account Gmail del lavoratore Twitter e ha trovato diversi messaggi di conferma della password da altri siti Web e servizi, quindi reimpostare l’account utilizzando una password che è apparso in diversi di questi messaggi. Questa era, infatti, la password originale; Hacker Croll è stato in grado di monitorare l’account, leggere i suoi messaggi e scaricare i suoi allegati, il tutto senza che nessuno il più saggio.
“Hacker Croll poi utilizzato la stessa password per accedere al employeeÄôs Twitter e-mail su Google Apps, ottenere l’accesso a una miniera d’oro di informazioni aziendali sensibili da e-mail e, in particolare, allegati di posta elettronica,” ha scritto Cubrilovic. Incluso in quella miniera d’oro erano i nomi utente e le password di altri dipendenti di Twitter, che Hacker Croll utilizzato per rompere nel lavoro account di posta elettronica di Williams e Stone, tra gli altri.
Secondo Cubrilovic, l’abitudine di una password per tutti i siti del dipendente violato non era rara su Twitter. “La maggior parte/tutti i dipendenti di Twitter hanno utilizzato la stessa password per la loro e-mail di Google Apps (l’account di posta elettronica di Twitter) come ha fatto con l’account Gmail personale”, ha affermato.
La scorsa settimana, Masiello ha esortato gli utenti a creare password più forti-una miscela di caratteri alfanumerici e speciali, come “#” e ” &”, ad esempio-e utilizzare password diverse per ogni servizio o sito. Ma non era ottimista sul fatto che il suo consiglio avrebbe colpito a casa. “Penso che ci vorrà molto di più di questo incidente per convincere la gente”, ha detto. “Va solo a dimostrare che anche se abbiamo parlato di password forti e multiple per anni, le persone non hanno ancora preso piede.”
Twitter ha minacciato azioni legali contro i siti, tra cui TechCrunch, che hanno pubblicato i documenti rubati, ma gli esperti legali hanno avvertito la scorsa settimana che era difficile prevedere se avrebbe avuto successo.