Twitter hacket igen, denne gang med hjælp fra Hotmail

Da en hacker, der kaldte sig Hacker Croll, brød ind på den administrative assistents e-mail-konto, brugte han denne til at indsamle oplysninger, der gav ham adgang til medarbejderens Google Apps-konto. De, der arbejder på Twitter, bruger virksomhedens version af Google Apps til at dele dokumenter og anden information inden for virksomheden.

Tilsyneladende brugte hacker en funktion i Microsofts Hotmail til at kapre medarbejderens e-mail-konto. Webstedet, der brød historien i sidste uge, TechCrunch, rapporterede, at hacker udnyttede dårlig adgangskodepraksis, Hotmails inaktive kontofunktion og personlige oplysninger på Internettet for at stjæle hundredvis af Twitter-dokumenter. TechCrunch formåede at overtale Hacker Croll til at afsløre detaljerne i dette angreb.

Hvordan startede denne proces?

Det begyndte med den personlige Gmail-konto for den administrative assistent, der arbejdede på Twitter. Som med mange andre webapplikationer har den personlige udgave Gmail en funktion til gendannelse af adgangskode, der giver brugeren en række udfordringer for at bevise deres identitet, så deres adgangskode kan nulstilles. På anmodning om at gendanne adgangskoden fik Hacker Croll en heldig pause, da Gmail meddelte ham, at en e-mail var blevet sendt til brugerens sekundære e-mail-konto. Gennem noget ret simpelt gætarbejde udledte Hacker Croll, at denne sekundære e-mail-konto var vært på Hotmail.com.

På Hotmail forsøgte Hacker Croll endnu en gang proceduren til gendannelse af adgangskode og udførte et veluddannet skøn over, hvad brugernavnet kunne være baseret på mængden af forskning, han havde udført på denne medarbejder og andre, der arbejder på Twitter, ved at grave gennem Internettet efter sandsynlige svar . Det er på dette tidspunkt, at Hacker Croll opdagede, at den konto, der er angivet som sekundær for Gmail og hostet på Hotmail, ikke længere var aktiv. Dette skyldes en politik på Hotmail, hvor gamle og sovende konti fjernes og genbruges.

Efter at have registreret kontoen og genanmodet funktionen om gendannelse af adgangskode fra Gmail, fandt Hacker Croll sig adgang til den personlige Gmail-konto for en Twitter-medarbejder. Velindrettede webapplikationer giver aldrig bare en bruger deres adgangskode, hvis de glemmer det, de vil tvinge brugeren til at vælge en ny. Dette er hvad Hacker Croll gjorde. For ikke at advare kontoejeren om, at deres konto var kompromitteret, skulle han dog på en eller anden måde opdage, hvad den originale Gmail-adgangskode var, og at sætte den tilbage.

Det er her, en dårlig vane med hensyn til adgangskodepraksis kommer i spil. De fleste af os er skyldige i det; bruger den samme adgangskode overalt, hvor vi går. At finde en e-mail sendt til kontoejeren, der er knyttet til en tilfældig webtjeneste, som brugeren havde abonneret på, detaljerede adgangskoden i klar tekst. Denne særlige adgangskode blev fundet mere end én gang i lignende e-mails. Hacker Croll kunne nu antage, at den samme adgangskode også blev brugt til Gmail-kontoen.

Herfra lykkedes det Hacker Croll at få adgang til brugerens arbejds-e-mail-konto, hostet på Google Apps for Domains. Det ser ud til, at denne medarbejder (og faktisk flere andre, der arbejder på Twitter) brugte den samme adgangskode til sin arbejds-e-mail, som han gjorde med sin personlige Gmail-konto. Fra det øjeblik spredte Hacker Crolls indbrud sig som en løbeild. Ved hjælp af den enkelte personlige Gmail-konto, som han havde formået at få adgang til som udgangspunkt, formåede han til sidst at inficere et antal konti på en række forskellige tjenester både inden for og uden for Twitter.

Når Hacker Croll havde adgang til medarbejderens Twitter-e-mail-konto, som Google hostede, var han i stand til at downloade vedhæftede filer til e-mail, der indeholdt følsomme oplysninger, herunder flere adgangskoder og brugernavne. Han overtog hurtigt regnskabet for mindst tre seniorledere, inklusive Twitters administrerende direktør, Evan Williams, og en af dets medstiftere, Biz Stone. Søgning efter deres vedhæftede filer førte til, at en overflod af mere følsomme data blev downloadet.

Hacker Croll spredte sig snart udad herfra og fik adgang til AT&T for telefonlogfiler, Amazon for indkøbshistorie, MobileMe for mere personlige e-mails og iTunes for fulde kreditkortoplysninger. I sidste ende, da Hacker Croll havde afsluttet sin udbredte infiltration, var det lykkedes ham at få tilstrækkelig personlig og arbejdsinformation om vigtige Twitter-ledere til at gøre deres liv elendigt. Selv på dette tidspunkt havde Twitter absolut ingen idé om, at de var kompromitteret.

Hvad var Hacker Crolls intentioner efter at have gennemført denne proces?

Ifølge TechCrunch var alt, hvad Hacker Croll havde til hensigt at gøre, at fremhæve svaghederne i Twitters datasikkerhedspolitikker og få dem og andre nystartede virksomheder til at overveje stærkere sikkerhedsforanstaltninger. Dette kan meget vel være sandheden, da det uundgåeligt kunne have fundet sted, var Hacker Croll, der solgte de oplysninger, han havde fået for at tjene penge, hvilket han ikke har gjort. I stedet blev de dokumenter, han erhvervede gennem sin indtrængen på Twitter, sendt til flere websteder, herunder TechCrunch, for at bevise hans værdi.

Twitter har truet retssager mod webstederne, herunder TechCrunch, der har offentliggjort de stjålne dokumenter, men juridiske eksperter advarede i sidste uge om, at det var svært at forudsige, om det ville lykkes.