hacker care a furat documente confidențiale Twitter folosit o caracteristică de Hotmail Microsoft pentru a deturna contul de e-mail de lucru unui angajat, site-ul care a publicat unele dintre documentele Twitter a declarat duminică.
potrivit TechCrunch, site-ul web care săptămâna trecută a rupt povestea despre încălcarea Twitter și a postat o parte din informațiile furate, hackerul numindu-se Hacker Croll a profitat de practicile slabe de parolă, funcția de cont inactiv a Hotmail și informațiile personale de pe Web pentru a ciupi sute de documente Twitter.
TechCrunch a declarat că l-a convins pe hackerul Croll să divulge detaliile atacului său și, pe parcursul mai multor zile de conversații, a reușit să pună cap la cap nu numai Breșa inițială, ci și modul în care unele informații pe care le-a obținut i-au permis să compromită conturile de e-mail ale Evan Williams, CEO-ul Twitter și unul dintre cofondatorii săi, Biz Stone.
hackerul Croll a jefuit mai întâi contul personal Gmail al unui angajat Twitter-săptămâna trecută Stone a identificat persoana ca asistent administrativ la companie-prin resetarea parolei contului. Pentru a face acest lucru, Hacker Croll a trebuit să răspundă la una sau mai multe întrebări personale utilizate pentru autentificarea utilizatorului. Potrivit TechCrunch, hackerul Croll a cercetat anterior acest angajat și alții de la Twitter, săpând prin Internet pentru răspunsuri probabile.
experții în securitate au speculat săptămâna trecută că același proces folosit de un student din Tennessee pentru a intra în contul de e-mail Yahoo al guvernatorului din Alaska, Sarah Palin, a fost la baza încălcării Twitter.
„despre parole slabe care sunt ușor de ghicit, cu o contribuție uriașă din obiceiul oamenilor de a pune informații online pe care altfel nu le-ar împărtăși nimănui decât prietenilor lor apropiați”, a declarat Sam Masiello, vicepreședinte al securității informațiilor la MX Logic săptămâna trecută într-un interviu. „Nu este greu să spargi cu informațiile pe care le poți găsi disponibile gratuit pe site-urile de rețele sociale.”
în acel moment, deși hackerul Croll avea controlul asupra contului personal Gmail al angajatului Twitter, el nu și-a putut ascunde urmele, deoarece utilizatorul ar fi știut rapid că ceva nu este în regulă data viitoare când a încercat să se conecteze la Gmail și a fost respins.
„la solicitarea recuperării parolei, Gmail a informat că un e-mail a fost trimis către contul de e-mail secundar al utilizatorului”, a scris Nik Cubrilovic de la TechCrunch. „Gmail a oferit un indiciu cu privire la ce cont a fost trimis e-mailul pentru a reseta parola, în cazul în care utilizatorul a solicitat un memento blând. În acest caz, indicatorul obfuscated la locația contului de e-mail secundar a fost ******@h******.com.”
Hacker Croll dedus că contul a fost pe Hotmail, și apoi a încercat să recupereze parola pe acel cont, de asemenea. Cu toate acestea, contul Hotmail a fost inactiv-o practică Microsoft concepută pentru a recicla conturile latente-ceea ce i-a permis să înregistreze contul Hotmail inactiv. S-a întors la Gmail și a trecut din nou prin procesul de recuperare a parolei, specificând o parolă proprie. Noua parolă a fost apoi trimisă în contul Hotmail tocmai deturnat. „În câteva momente a avut acces la contul personal Gmail al unui angajat Twitter”, a explicat Cubrilovic. „Primul domino a căzut.”
hackerul Croll avea acum controlul asupra contului Gmail al asistentului administrativ Twitter, dar cu parola sa, nu cea cunoscută de utilizatorul legitim. Hackerul a trebuit să reseteze parola la original pentru a-și păstra secretul deturnării.
de acolo, a spus Cubrilovic, a fost cea mai mare parte legwork digitale. Hacker Croll a accesat contul Gmail al lucrătorului Twitter și a găsit mai multe mesaje de confirmare a parolei de pe alte site-uri și servicii Web, apoi a resetat contul folosind o parolă care a apărut în mai multe astfel de mesaje. Aceasta a fost, de fapt, parola originală; Hacker Croll a reușit să monitorizeze contul, să-i citească mesajele și să-și descarce atașamentele, toate fără ca cineva să fie mai înțelept.
„hackerul Croll a folosit apoi aceeași parolă pentru a accesa e-mailul de pe Twitter al angajatului de pe Google Apps, obținând acces la o mină de aur cu informații sensibile ale companiei din e-mailuri și, în special, atașamente de e-mail”, a scris Cubrilovic. În acea mină de aur erau incluse numele de utilizator și parolele altor angajați Twitter, pe care hackerul Croll le-a folosit pentru a intra în conturile de e-mail ale lui Williams și Stone, printre altele.
potrivit lui Cubrilovic, obiceiul cu o singură parolă pentru toate site-urile angajatului hacked nu a fost neobișnuit la Twitter. „Majoritatea angajaților Twitter au folosit aceeași parolă pentru e-mailul Google Apps (contul de e-mail Twitter) ca și în cazul contului personal Gmail”, a spus el.
săptămâna trecută, Masiello a cerut utilizatorilor să creeze parole mai puternice-un amestec de caractere alfanumerice și speciale, cum ar fi „#” și ” &”, de exemplu-și să utilizeze parole diferite pentru fiecare serviciu sau site. Dar el nu a fost optimist că sfatul său ar lovi acasă. „Cred că va fi nevoie de mult mai mult decât acest incident pentru a convinge oamenii”, a spus el. „Arată doar că, deși vorbim de parole puternice și multiple de ani de zile, oamenii încă nu s-au prins.”
Twitter a amenințat cu acțiuni în justiție împotriva site-urilor, inclusiv TechCrunch, care au publicat documentele furate, dar experții juridici au avertizat săptămâna trecută că este greu de prezis dacă va reuși.