hacker som stal konfidentiella Twitter dokument använde en funktion av Microsofts Hotmail att kapa en anställds arbete e-postkonto, den webbplats som har publicerat några av Twitter dokument sade söndag.
enligt TechCrunch bröt webbplatsen som förra veckan historien om Twitter-överträdelsen och har lagt upp en del av den stulna informationen, hackaren som kallar sig Hacker Croll utnyttjade dåliga lösenordspraxis, Hotmails inaktiva kontofunktion och personlig information på webben för att klämma hundratals Twitter-dokument.
TechCrunch sa att det övertygade Hacker Croll att avslöja detaljerna i hans attack, och under flera dagars samtal kunde man sammanföra inte bara den ursprungliga överträdelsen, men hur viss information han fick gjorde det möjligt för honom att kompromissa e-postkontona till Evan Williams, Twitters VD och en av dess grundare, Biz Stone.
Hacker Croll slog först det personliga Gmail-kontot för en Twitter-anställd – förra veckan identifierade Stone personen som administrativ assistent med företaget-genom att återställa kontots lösenord. För att göra det måste Hacker Croll svara på en eller flera personliga frågor som används för att autentisera användaren. Enligt TechCrunch hade Hacker Croll tidigare undersökt den här medarbetaren och andra på Twitter genom att gräva via Internet för troliga svar.
säkerhetsexperter förra veckan spekulerade i att samma process som används av en Tennessee college student att bryta sig in i Alaska Gov.Sarah Palins Yahoo e-postkonto var roten till Twitter-överträdelsen.
”om svaga lösenord som lätt kan gissas, med ett stort bidrag från människors vana att sätta onlineinformation som de annars inte skulle dela med någon annan än deras närmaste vänner”, sa Sam Masiello, vice president för informationssäkerhet på MX Logic förra veckan i en intervju. ”Det är inte svårt att knäcka med den information du kan hitta fritt tillgänglig på sociala nätverkssajter.”
vid den tiden, även om Hacker Croll hade kontroll över Twitter-medarbetarens personliga Gmail-konto, kunde han inte dölja sina spår, eftersom användaren snabbt skulle ha vetat att något var fel nästa gång han eller hon försökte logga in på Gmail och avvisades.
”när Gmail begärde att återställa lösenordet informerade han om att ett e-postmeddelande hade skickats till användarens sekundära e-postkonto”, skrev TechCrunchs nik Cubrilovic. ”Gmail erbjöd en ledtråd om vilket konto e-postmeddelandet för att återställa lösenordet skickades till, om användaren krävde en mild påminnelse. I det här fallet var den obfuscated pekaren till platsen för det sekundära e-postkontot ******@h******.com.”
Hacker Croll härledde att kontot var på Hotmail och försökte sedan återställa lösenordet på det kontot också. Hotmail-kontot var dock inaktivt – en Microsoft-praxis som var utformad för att återvinna vilande konton-vilket gjorde det möjligt för honom att registrera det inaktiva Hotmail-kontot. Han återvände till Gmail och gick igen igenom lösenordsåterställningsprocessen och angav ett eget lösenord. Det nya lösenordet skickades sedan till det just kapade Hotmail-kontot. ”Inom några ögonblick hade tillgång till det personliga Gmail-kontot för en Twitter-anställd,” förklarade Cubrilovic. ”Den första domino hade fallit.”
Hacker Croll hade nu kontroll över Twitter-administratörsassistentens Gmail-konto, men med sitt lösenord, inte det som den legitima användaren känner till. Hackaren var tvungen att återställa lösenordet till originalet för att hålla sin kapning hemlig.
därifrån, sa Cubrilovic, var det mestadels digitalt benarbete. Hacker Croll bläddrade i Twitter-arbetarens Gmail-konto och hittade flera lösenordsbekräftelsemeddelanden från andra webbplatser och tjänster och återställ sedan kontot med ett lösenord som dök upp i flera sådana meddelanden. Det var faktiskt det ursprungliga lösenordet; Hacker Croll kunde övervaka kontot, läsa meddelandena och ladda ner bilagorna, allt utan någon klokare.
”Hacker Croll använde sedan samma lösenord för att få tillgång till den anställdes Twitter-e-post på Google Apps, få tillgång till en guldgruva av känslig företagsinformation Från e-postmeddelanden och särskilt e-postbilagor”, skrev cubrilovic. Inkluderat i den guldgruvan var användarnamn och lösenord för andra Twitter-anställda, som Hacker Croll brukade bryta sig in i bland annat Williams och Stone.
enligt Cubrilovic var vanan med ett lösenord för alla webbplatser för den hackade medarbetaren inte ovanlig på Twitter. ”De flesta/alla Twitter-anställda använde samma lösenord för deras Google Apps-e-post (Twitter-e-postkontot) som med personligt Gmail-konto”, sa han.
förra veckan uppmanade Masiello användare att skapa starkare lösenord – en blandning av alfanumeriska och specialtecken, till exempel ”#” och ”&”, till exempel-och använda olika lösenord för varje tjänst eller webbplats. Men han var inte optimistisk att hans råd skulle slå hem. ”Jag tror att det kommer att ta mycket mer än den här händelsen för att övertyga människor,” sa han. ”Det visar bara att även om vi har pratat om starka och flera lösenord i flera år, har människor fortfarande inte fångats på.”
Twitter har hotat rättsliga åtgärder mot webbplatser, inklusive TechCrunch, som har publicerat de stulna dokumenten, men juridiska experter varnade förra veckan att det var svårt att förutsäga om det skulle lyckas.