de hacker die vertrouwelijke Twitter-documenten stal gebruikte een functie van Microsoft ‘ s Hotmail om het e-mailaccount van een werknemer te kapen, de site die een aantal van de Twitter-documenten heeft gepubliceerd zei zondag.
volgens TechCrunch, de website die vorige week brak het verhaal over de Twitter inbreuk en heeft gepost een aantal van de gestolen informatie, de hacker die zichzelf Hacker Croll maakte gebruik van slechte wachtwoord praktijken, Hotmail ‘ s inactieve account functie en persoonlijke informatie op het Web om honderden Twitter-documenten knijpen.TechCrunch zei dat het overtuigde Hacker Croll om de details van zijn aanval te onthullen, en in de loop van een aantal dagen gesprekken was in staat om stuk samen niet alleen de oorspronkelijke inbreuk, maar hoe sommige informatie die hij verkregen kon hem in staat om de e-mailaccounts van Evan Williams, Twitter’ s CEO, en een van de medeoprichters, Biz Stone compromitteren.
Hacker Croll heeft voor het eerst het persoonlijke Gmail-account van een Twitter-medewerker gekaapt — vorige week identificeerde Stone de persoon als administratieve assistent bij het bedrijf — door het wachtwoord van het account te resetten. Om dat te doen, Hacker Croll moest een of meer persoonlijke vragen te beantwoorden gebruikt om de gebruiker te authenticeren. Volgens TechCrunch, Hacker Croll had eerder onderzocht deze werknemer, en anderen op Twitter, door te graven via het Internet voor waarschijnlijke reacties.
Security experts vorige week gespeculeerd dat hetzelfde proces gebruikt door een Tennessee college student in te breken in Alaska Gov.Sarah Palin ‘ s Yahoo e-mailaccount was aan de wortel van de Twitter inbreuk.
” over zwakke wachtwoorden die gemakkelijk te raden zijn, met een enorme bijdrage van de gewoonte van mensen om online informatie te zetten die ze anders niet zouden delen met iemand anders dan hun beste vrienden, ” zei Sam Masiello, vice president of information security bij MX Logic vorige week in een interview. “Het is niet moeilijk om te kraken met de informatie die je vrij beschikbaar kunt vinden op social networking sites.”
op dat moment, hoewel Hacker Croll de controle had over de persoonlijke Gmail-account van de Twitter-medewerker, kon hij zijn tracks niet verbergen, omdat de gebruiker snel zou hebben geweten dat er iets mis was de volgende keer dat hij of zij probeerde in te loggen op Gmail, en werd afgewezen.
” op het verzoek om het wachtwoord te herstellen, deelde Gmail mee dat er een e-mail was verzonden naar het secundaire e-mailaccount van userÄôs,” schreef Nik Cubilovic van TechCrunch. “Gmail bood een hint over welk account de e-mail om het wachtwoord te resetten werd verzonden naar, in het geval dat de gebruiker een zachte herinnering nodig. In dit geval was de verduisterde pointer naar de locatie van het secundaire e-mailaccount ******@h******.com.”
Hacker Croll leidde af dat het account op Hotmail stond, en probeerde vervolgens ook het wachtwoord op dat account te herstellen. De Hotmail-account was inactief, echter-een Microsoft-praktijk ontworpen om slapende accounts te recyclen – waardoor hij de inactieve Hotmail-account kon registreren. Hij keerde terug naar Gmail en ging opnieuw door de password recovery-proces, met vermelding van een wachtwoord van zijn eigen. Het nieuwe wachtwoord werd vervolgens verzonden naar de net gekaapte Hotmail-account. “Binnen een paar momenten had toegang tot de persoonlijke Gmail-account van een Twitter-werknemer,” legde Cubilovic. “De eerste domino was gevallen.”
Hacker Croll had nu de controle over de Gmail-account van de Twitter administrative assistant, maar met zijn wachtwoord, niet het wachtwoord dat bekend is bij de legitieme gebruiker. De hacker moest het wachtwoord resetten naar het origineel om zijn kaping geheim te houden.
vanaf daar, zei Cubilovic, was het vooral digitaal legwork. Hacker Croll bladerde Gmail-account van de Twitter-werknemer en vond een aantal wachtwoordbevestiging berichten van andere websites en diensten, dan reset de account met behulp van een wachtwoord dat in verschillende dergelijke berichten verscheen. Dat was, in feite, het oorspronkelijke wachtwoord; Hacker Croll was in staat om de account te controleren, lees de berichten en download de bijlagen, allemaal zonder iemand de wijzer.
“Hacker Croll gebruikte vervolgens hetzelfde wachtwoord om toegang te krijgen tot de e-mail van employeeÄôs Twitter op Google Apps, en kreeg toegang tot een goudmijn van gevoelige bedrijfsinformatie van e-mails en, in het bijzonder, e-mailbijlagen,” schreef Cubilovic. Inbegrepen in die goudmijn waren de gebruikersnamen en wachtwoorden van andere Twitter-medewerkers, die Hacker Croll gebruikt om in te breken in het werk e-mailaccounts van Williams en Stone, onder anderen.
volgens Cubilovic was de één-wachtwoord-voor-alle-sites gewoonte van de gehackte werknemer niet ongewoon op Twitter. “De meeste / Alle Twitter-medewerkers gebruikt hetzelfde wachtwoord voor hun Google Apps e-mail (de Twitter e-mailaccount) als met persoonlijke Gmail-account,” zei hij.
vorige week spoorde Masiello gebruikers aan om sterkere wachtwoorden te maken — een combinatie van alfanumerieke en speciale tekens, zoals ” # “en” &, ” bijvoorbeeld — en verschillende wachtwoorden te gebruiken voor elke service of site. Maar hij was niet optimistisch dat zijn advies zou komen. “Ik denk dat het gaat om veel meer dan dit incident om mensen te overtuigen,” zei hij. “Het gaat gewoon om te laten zien dat, hoewel we hebben gesproken over sterke en meerdere wachtwoorden voor jaren, mensen nog steeds niet gevangen op.”
Twitter heeft gedreigd met juridische stappen tegen de sites, waaronder TechCrunch, die de gestolen documenten hebben gepubliceerd, maar juridische experts waarschuwden vorige week dat het moeilijk was om te voorspellen of het zou slagen.