機密のTwitter文書を盗んだハッカーは、MicrosoftのHotmailの機能を使用して従業員の仕事用電子メールアカウントをハイジャックした。Twitter文書の一部を公開しているサイトによると、日曜日には、Twitterの文書の一部が公開されている。
TechCrunchによると、先週Twitterの違反についての話を破り、盗まれた情報の一部を投稿したWebサイト、ハッカー Crollを名乗るハッカーは、貧弱なパスワード慣行、Hotmailの非アクテ
TechCrunchは、ハッカーのCrollに攻撃の詳細を漏らすよう説得し、数日間の会話の間に元の違反だけでなく、彼が得たいくつかの情報がTwitterのCEOであり、共同創設者の一人であるEvan Williamsの電子メールアカウントをどのように侵害することができたかをまとめることができたと述べたBiz Stone。
ハッカー Crollは最初にTwitterの従業員の個人的なGmailアカウントをジャックしました-先週Stoneはその人を会社の管理アシスタントとして特定しました-アカウントのパスワードをリセットすることによって。 これを行うには、ハッカー Crollは、ユーザーを認証するために使用される一つ以上の個人的な質問に答える必要がありました。 TechCrunchによると、ハッカーのCrollは以前、この従業員やTwitterの他の人たちを調査し、インターネットを介して可能性のある回答を探していました。
セキュリティ専門家は先週、テネシー州の大学生がアラスカ州知事サラ・ペイリンのYahooの電子メールアカウントに侵入するために使用したのと同じプロセスがTwitter違反の根本にあったと推測した。
“簡単に推測できる弱いパスワードについて、彼らはそうでなければ誰もが、彼らの親しい友人と共有しないだろうオンライン情報を置く人々の習慣からの巨大な貢献をして、”サムMasiello、MX Logicの情報セキュリティ担当副社長は先週のインタビューで述べています。 “それはあなたがソーシャルネットワーキングサイト上で自由に利用できる見つけることができる情報をクラックするのは難しいことではありません。”
その時点で、ハッカー CrollはTwitterの従業員の個人的なGmailアカウントを制御していましたが、ユーザーは次のGmailにログオンしようとしたときに何かが間違っていたことをすぐに知っていたので、彼は彼のトラックを隠すことができず、拒否されました。
“パスワードの回復を要求すると、Gmailはユーザーのセカンダリメールアカウントにメールが送信されたことを通知しました”とtechcrunchのNik Cubrilovicは書いています。 “Gmailは、ユーザーが穏やかなリマインダーを必要とした場合に備えて、パスワードをリセットする電子メールが送信されていたアカウントに関するヒントを提 この場合、セカンダリメールアカウントの場所への難読化されたポインタは******@h*****.comでした。”
ハッカー Crollは、アカウントがHotmail上にあったことを推測し、そのアカウン しかし、Hotmailアカウントは非アクティブであった-休眠アカウントをリサイクルするように設計されたMicrosoftの慣行-それは彼が非アクティブなHotmailアカウン 彼はGmailに戻り、再びパスワード回復プロセスを経て、自分のパスワードを指定しました。 新しいパスワードは、ちょうどハイジャックされたHotmailアカウントに送信されました。 “しばらくの間に、Twitterの従業員の個人的なGmailアカウントにアクセスできました”とCubrilovic氏は説明します。 “最初のドミノは落ちていた。”
ハッカー Crollは現在、Twitter管理アシスタントのGmailアカウントを制御していましたが、彼のパスワードではなく、正当なユーザーによって知られているものでした。 ハッカーは、彼のハイジャックの秘密を保つために、元のパスワードをリセットする必要がありました。
そこから、Cubrilovicは言った、それは主にデジタルレグワークでした。 ハッカー Crollは、Twitterの労働者のGmailアカウントを閲覧し、他のWebサイトやサービスからいくつかのパスワード確認メッセージを発見し、その後、いくつかのそのような ハッカー Crollは、アカウントを監視し、そのメッセージを読んで、その添付ファイルをダウンロードすることができました。
“ハッカー Crollは、Google Apps上の従業員のTwitterメールにアクセスするために同じパスワードを使用し、電子メール、特に電子メールの添付ファイルから機密企業情報の金鉱山にアクセスしました”とCubrilovicは書いています。 その金鉱山には、他のTwitter従業員のユーザー名とパスワードが含まれており、ハッカー CrollはWilliamsとStoneの仕事の電子メールアカウントに侵入するために使用しました。
Cubrilovicによると、ハッキングされた従業員のすべてのサイトのパスワードの習慣は、Twitterでは珍しいことではありませんでした。 “ほとんど/すべてのTwitterの従業員は、個人のGmailアカウントと同じように、Google Appsの電子メール(Twitterの電子メールアカウント)に同じパスワードを使用しました”と彼は言
先週、Masielloは、ユーザーに、より強力なパスワード(例えば、”#”や”&”などの英数字と特殊文字のブレンド)を作成し、サービスやサイトごとに異なるパスワードを使用す しかし、彼は彼のアドバイスが家に当たると楽観的ではなかった。 “私はそれが人々を説得するために、この事件よりもはるかに多くを取るだろうと思う”と彼は言った。 “それはちょうど私たちが何年も強力で複数のパスワードについて話してきたにもかかわらず、人々はまだ捕まえていないことを示すために行く。”
Twitterは、盗まれた文書を公開しているtechcrunchを含むサイトに対する法的措置を脅かしているが、法律の専門家は先週、それが成功するかどうかを予測する