hackeren som stjal konfidensielle Twitter-dokumenter, brukte En funksjon Av Microsofts Hotmail for å kapre en ansattes e-postkonto, nettstedet som har publisert Noen Av Twitter-dokumentene, sa søndag.
Ifølge TechCrunch, Nettstedet som i forrige uke brøt historien Om Twitter-bruddet og har lagt ut noe av den stjålne informasjonen, hackeren kalte Seg Hacker Croll utnyttet dårlig passordpraksis, Hotmails inaktive kontofunksjon og personlig informasjon på Nettet for å klemme hundrevis Av Twitter-dokumenter.
TechCrunch sa at Det overbeviste Hacker Croll om å avsløre detaljene i angrepet, og i løpet av flere dagers samtaler var det i stand til å samle ikke bare det opprinnelige bruddet, men hvordan noen opplysninger han fikk, tillot Ham å kompromittere e-postkontoene Til Evan Williams, Twitters ADMINISTRERENDE DIREKTØR, Og En av grunnleggerne, Biz Stone.
Hacker Croll først jacked den personlige Gmail-kontoen Til En Twitter-ansatt – I forrige uke identifiserte Stone personen som en administrativ assistent med selskapet – ved å tilbakestille kontoens passord. For Å gjøre Det måtte Hacker Croll svare på ett eller flere personlige spørsmål som ble brukt til å autentisere brukeren. Ifølge TechCrunch Hadde Hacker Croll tidligere undersøkt denne ansatt, og andre På Twitter, ved å grave gjennom Internett for sannsynlige svar.
Sikkerhetseksperter i forrige uke spekulert i at den samme prosessen som brukes Av En Tennessee college student å bryte Inn I Alaska Gov. Sarah Palin Yahoo E-postkonto var roten Til twitter brudd.
«om svake passord som er lett gjettbare, med et stort bidrag fra folks vane med å sette online informasjon som de ellers ikke ville dele med noen, men deres nærmeste venner,» Sa Sam Masiello, visepresident for informasjonssikkerhet HOS MX Logic i forrige uke i et intervju. «Det er ikke vanskelig å knekke med informasjonen du finner fritt tilgjengelig på sosiale nettverk.»
På det tidspunktet, Selv Om Hacker Croll hadde kontroll over Twitter-ansattes Personlige Gmail-konto, kunne han ikke skjule sporene sine, da brukeren raskt ville ha visst at noe var galt neste gang han eller hun prøvde å logge Seg På Gmail, og ble avvist.
«Ved å be Om å gjenopprette passordet, Informerte Gmail om at en e-post hadde blitt sendt til useräô sekundær e-postkonto,» skrev techcrunchs nik Cubrilovic. «Gmail tilbød et hint om hvilken konto e-posten for å tilbakestille passordet ble sendt til, hvis brukeren trengte en mild påminnelse. I dette tilfellet var den uklare pekeren til plasseringen av den sekundære e-postkontoen ******@h******.com. »
Hacker Croll utledet at kontoen var På Hotmail, og forsøkte deretter å gjenopprette passordet på den kontoen også. Hotmail-kontoen var inaktiv , men-En Microsoft-praksis designet for å resirkulere sovende kontoer-som tillot ham å registrere den inaktive Hotmail-kontoen. Han kom tilbake Til Gmail og gikk igjen gjennom passordgjenopprettingsprosessen, og angav et eget passord. Det nye passordet ble deretter sendt til Den nettopp kaprede Hotmail-kontoen. «Innen noen få øyeblikk hadde tilgang til den personlige Gmail-kontoen Til En Twitter-ansatt,» forklarte Cubrilovic. «Den første domino hadde falt.»
Hacker Croll hadde nå kontroll over Twitter administrativ assistent Gmail-konto, men med hans passord, ikke den kjente av den legitime brukeren. Hackeren måtte tilbakestille passordet til originalen for å holde kapringen hemmelig.
Derfra, Sa Cubrilovic, var det for det meste digitalt legwork. Hacker Croll bladde Twitter arbeiderens Gmail-konto og fant flere passord bekreftelsesmeldinger fra Andre Nettsteder og tjenester, deretter tilbakestille kontoen ved hjelp av et passord som dukket opp i flere slike meldinger. Det var faktisk det opprinnelige passordet; Hacker Croll var i stand til å overvåke kontoen, lese meldingene og laste ned vedleggene, alt uten at noen klokere.
» Hacker Croll brukte deretter det samme passordet for å få tilgang til den ansattedeäô twitter-E-Posten på google Apps, få tilgang til en gullgruve av sensitiv bedriftsinformasjon fra e-post og spesielt e-postvedlegg,» skrev cubrilovic. Inkludert i den gullgruven var brukernavnene og passordene til Andre Twitter-ansatte, som Hacker Croll pleide å bryte inn i e-postkontoene Til Williams og Stone, blant andre.
Ifølge Cubrilovic var vanen til den hackede medarbeideren ikke uvanlig På Twitter. «De fleste / Alle Twitter-ansatte brukte det samme passordet for Deres Google Apps-e-post (Twitter-e-postkontoen) som gjorde med personlig Gmail-konto,» sa han.
I forrige uke oppfordret Masiello brukere til å lage sterkere passord-en blanding av alfanumeriske og spesialtegn, for eksempel «#» og «&», for eksempel-og bruk forskjellige passord for hver tjeneste eller nettsted. Men han var ikke optimistisk at hans råd ville treffe hjem. «Jeg tror det kommer til å ta mye mer enn denne hendelsen for å overbevise folk,» sa han. «Det viser bare at selv om vi har snakket om sterke og flere passord i årevis, har folk fortsatt ikke tatt på seg.»
Twitter har truet med rettslige skritt mot nettstedene, inkludert TechCrunch, som har publisert de stjålne dokumentene, men juridiske eksperter advarte i forrige uke at det var vanskelig å forutsi om det ville lykkes.