haker, który ukradł poufne dokumenty na Twitterze, wykorzystał funkcję hotmaila Microsoftu, aby porwać pracownicze konto e-mail, Strona, która opublikowała niektóre dokumenty na Twitterze, powiedziała w niedzielę.
według TechCrunch, strona internetowa, która w zeszłym tygodniu złamała historię o naruszeniu Twittera i opublikowała niektóre skradzione Informacje, haker nazywający się haker Croll wykorzystał słabe praktyki dotyczące haseł, nieaktywną funkcję konta hotmaila i dane osobowe w sieci, aby uszczypnąć setki dokumentów na Twitterze.
TechCrunch powiedział, że przekonał hakera Crolla do ujawnienia szczegółów swojego ataku, a w ciągu kilku dni rozmów był w stanie poskładać nie tylko pierwotne naruszenie, ale także to, w jaki sposób niektóre informacje, które uzyskał, pozwoliły mu skompromitować konta e-mail Evana Williamsa, CEO Twittera i jednego z jego współzałożycieli, Biz Stone.
haker Croll najpierw ukradł osobiste konto Gmail pracownika Twittera . w zeszłym tygodniu Stone zidentyfikował osobę jako asystenta administracyjnego w firmie. resetując hasło do konta. Aby to zrobić, haker Croll musiał odpowiedzieć na jedno lub więcej osobistych pytań używanych do uwierzytelnienia użytkownika. Według TechCrunch, haker Croll wcześniej zbadał tego pracownika, a inni na Twitterze, przekopując się przez Internet w poszukiwaniu prawdopodobnych odpowiedzi.
eksperci od bezpieczeństwa w zeszłym tygodniu spekulowali, że ten sam proces, którego użyła studentka z Tennessee, aby włamać się na konto e-mail Yahoo. Sarah Palin była przyczyną naruszenia Twittera.
„o słabych hasłach, które można łatwo zgadywać, z ogromnym wkładem ludzkiego nawyku umieszczania informacji online, których w przeciwnym razie nie podzieliliby się z nikim, oprócz swoich najbliższych przyjaciół”, powiedział w zeszłym tygodniu w wywiadzie sam Masiello, wiceprezes ds. bezpieczeństwa informacji w MX Logic. „To nie jest trudne do złamania z informacjami, które można znaleźć swobodnie dostępne na portalach społecznościowych.”
w tym momencie, chociaż haker Croll miał kontrolę nad osobistym kontem Gmaila pracownika Twittera, nie mógł ukryć swoich śladów, ponieważ użytkownik szybko wiedziałby, że coś jest nie tak, gdy następnym razem próbował zalogować się do Gmaila i został odrzucony.
„po prośbie o odzyskanie hasła, Gmail poinformował, że wiadomość e-mail została wysłana na wtórne konto e-mail użytkownika” – napisał Nik Cubrilovic z Techcruncha. „Gmail zaproponował podpowiedź, na które konto został wysłany e-mail, aby zresetować hasło, na wypadek, gdyby użytkownik wymagał Delikatnego przypomnienia. W tym przypadku zaciemnionym wskaźnikiem do lokalizacji wtórnego konta e-mail było ******@h******.com.”
haker Croll wywnioskował, że konto było na Hotmailu, a następnie próbował odzyskać hasło na tym koncie. Konto Hotmail było jednak nieaktywne – praktyka Microsoftu zaprojektowana do recyklingu nieaktywnych kont-co pozwoliło mu zarejestrować nieaktywne konto Hotmail. Wrócił do Gmaila i ponownie przeszedł proces odzyskiwania hasła, określając własne hasło. Nowe hasło zostało następnie wysłane na właśnie Przejęte konto Hotmail. „W ciągu kilku chwil miał dostęp do osobistego konta Gmail pracownika Twittera,” wyjaśnił Cubrilovic. „Upadło pierwsze domino.”
haker Croll miał teraz kontrolę nad kontem Gmail asystenta administracyjnego Twittera, ale za pomocą swojego hasła, nie tego znanego przez legalnego użytkownika. Haker musiał zresetować hasło do oryginału, aby utrzymać jego porwanie w tajemnicy.
stamtąd, powiedział Cubrilovic, była to głównie cyfrowa Praca. Haker Croll przeglądał konto Gmail pracownika Twittera i znalazł kilka wiadomości potwierdzających hasło z innych stron internetowych i usług, a następnie zresetował konto za pomocą hasła, które pojawiło się w kilku takich wiadomościach. To było w rzeczywistości oryginalne hasło; haker Croll był w stanie monitorować konto, czytać jego wiadomości i pobierać załączniki, wszystko bez nikogo mądrzejszego.
„haker Croll następnie użył tego samego hasła, aby uzyskać dostęp do poczty e-mail na Twitterze w Google Apps, uzyskując dostęp do kopalni złota poufnych informacji o firmie z e-maili, a zwłaszcza załączników do wiadomości e-mail” – napisał Cubrilovic. W tej kopalni złota znalazły się nazwy użytkowników i hasła innych pracowników Twittera, których haker Croll użył do włamania się do służbowych kont e-mailowych między innymi Williamsa i Stone ’ A.
według Cubrilovica nawyk zhakowanego pracownika z jednym hasłem nie był rzadkością na Twitterze. „Większość / wszyscy pracownicy Twittera używali tego samego hasła do swojej poczty e-mail Google Apps (konta e-mail na Twitterze), jak w przypadku osobistego konta Gmail” – powiedział.
w zeszłym tygodniu Masiello zachęcał użytkowników do tworzenia silniejszych haseł-na przykład kombinacji znaków alfanumerycznych i specjalnych, takich jak „#” i „&” – i używania różnych haseł dla każdej usługi lub witryny. Ale nie był optymistą, że jego rada trafi do domu. „Myślę, że trzeba dużo więcej niż ten incydent, aby przekonać ludzi,” powiedział. „To po prostu pokazuje, że chociaż od lat mówimy o silnych i wielu hasłach, ludzie nadal się nie załapali.”
Twitter zagroził podjęciem kroków prawnych przeciwko serwisom, w tym TechCrunch, które opublikowały skradzione dokumenty, ale eksperci prawni ostrzegli w zeszłym tygodniu, że trudno jest przewidzieć, czy się uda.