O hacker que roubou confidenciais do Twitter documentos utilizado um recurso do Microsoft Hotmail para sequestrar um trabalho do empregado conta de e-mail, o site que publicou algumas das Twitter documentos, disse domingo.
de acordo com TechCrunch, o site que na semana passada quebrou a história sobre a violação Twitter e postou algumas das informações roubadas, o hacker chamando-se Hacker Croll aproveitou práticas de senha pobres, recurso de conta inativa do Hotmail e informações pessoais na Web para beliscar centenas de documentos do Twitter.O TechCrunch disse que convenceu o Hacker Croll a divulgar os detalhes de seu ataque e, ao longo de vários dias, as conversas foram capazes de reunir não apenas a violação original, mas como algumas informações que ele obteve permitiram que ele comprometesse as contas de e-mail de Evan Williams, CEO do Twitter, e um de seus co-fundadores, Biz Stone.O Hacker Croll primeiro pegou a conta pessoal do Gmail de um funcionário do Twitter – na semana passada Stone identificou a pessoa como Assistente Administrativo da empresa-redefinindo a senha da conta. Para fazer isso, Hacker Croll teve que responder a uma ou mais perguntas pessoais usadas para autenticar o usuário. De acordo com o TechCrunch, o Hacker Croll já havia pesquisado esse funcionário e outros no Twitter, vasculhando a Internet em busca de respostas prováveis.Especialistas em segurança especularam na semana passada que o mesmo processo usado por um estudante universitário do Tennessee para invadir a conta de E-mail do Yahoo da governadora do Alasca, Sarah Palin, estava na raiz da violação do Twitter.”Sobre senhas fracas que são facilmente adivinháveis, com uma enorme contribuição do hábito das pessoas de colocar informações on-line que de outra forma não compartilhariam com ninguém além de seus amigos mais próximos”, disse Sam Masiello, vice-presidente de segurança da Informação da MX Logic na semana passada em uma entrevista. “Não é difícil decifrar as informações que você pode encontrar disponíveis gratuitamente em sites de redes sociais.”
naquele momento, embora o Hacker Croll tivesse o controle da conta pessoal do Gmail do funcionário do Twitter, ele não podia esconder seus rastros, já que o usuário saberia rapidamente que algo estava errado na próxima vez que tentasse fazer logon no Gmail e foi rejeitado.
“ao solicitar a recuperação da senha, o Gmail informou que um e-mail havia sido enviado para a conta de E-mail secundária do userÄôs”, escreveu Nik Cubrilovic, do TechCrunch. “O Gmail ofereceu uma dica sobre para qual conta o e-mail para redefinir a senha estava sendo enviado, caso o usuário exigisse um lembrete gentil. Nesse caso, o ponteiro ofuscado para a localização da conta de E-mail secundária foi ******@h*****. com.”
Hacker Croll deduziu que a conta estava no Hotmail e, em seguida, tentou recuperar a senha nessa conta também. A conta do Hotmail estava inativa , no entanto-uma prática da Microsoft projetada para reciclar contas inativas-o que lhe permitiu registrar a conta inativa do Hotmail. Ele voltou ao Gmail e novamente passou pelo processo de recuperação de senha, especificando uma senha própria. A nova senha foi então enviada para a conta do Hotmail recém-sequestrada. “Dentro de alguns momentos teve acesso à conta pessoal do Gmail de um funcionário do Twitter”, explicou Cubrilovic. “O primeiro Dominó caiu.”O Hacker Croll agora tinha o controle da conta do Gmail do Assistente Administrativo do Twitter, mas com sua senha, não a conhecida pelo usuário legítimo. O hacker teve que redefinir a senha para o original para manter seu sequestro em segredo.
a partir daí, disse Cubrilovic, era principalmente legwork digital. Hacker Croll navegou na conta do Gmail do trabalhador do Twitter e encontrou várias mensagens de confirmação de senha de outros sites e serviços, em seguida, redefina a conta usando uma senha que apareceu em várias dessas mensagens. Essa era, de fato, a senha original; Hacker Croll foi capaz de monitorar a conta, ler suas mensagens e baixar seus anexos, tudo sem ninguém mais sábio.
“Hacker Croll, em seguida, usou a mesma senha para acessar o employeeÄôs Twitter e-mail no Google Apps, ter acesso a uma mina de ouro de informações confidenciais da empresa a partir de e-mails e, particularmente, anexos de e-mail,” escreveu Cubrilovic. Incluídos nessa mina de ouro estavam os nomes de usuário e senhas de outros funcionários do Twitter, que o Hacker Croll costumava invadir as contas de E-mail de trabalho de Williams e Stone, entre outros.
de acordo com Cubrilovic, o hábito de uma senha para todos os sites do funcionário hackeado não era incomum no Twitter. “A maioria / todos os funcionários do Twitter usaram a mesma senha para seu e-mail do Google Apps (a conta de E-mail do Twitter) como fez com a conta pessoal do Gmail”, disse ele.Na semana passada, Masiello pediu aos usuários que criassem senhas mais fortes – uma mistura de caracteres alfanuméricos e especiais, como ” # “e” &”, por exemplo-e usassem senhas diferentes para cada serviço ou site. Mas ele não estava otimista de que seu conselho chegaria em casa. “Acho que vai demorar muito mais do que este incidente para convencer as pessoas”, disse ele. “Isso só mostra que, embora estejamos falando de senhas fortes e múltiplas há anos, as pessoas ainda não pegaram.O Twitter ameaçou uma ação legal contra os sites, incluindo o TechCrunch, que publicaram os documentos roubados, mas especialistas legais alertaram na semana passada que era difícil prever se seria bem-sucedido.