Twitter hackerato di nuovo, questa volta con l'aiuto di Hotmail

Quando un hacker, che si fa chiamare Hacker Croll, ha fatto irruzione nell'account di posta elettronica dell'assistente amministrativo, lo ha utilizzato per raccogliere informazioni che gli consentivano di accedere all'account Google Apps del dipendente. Chi lavora in Twitter utilizza la versione aziendale di Google Apps per condividere documenti e altre informazioni all'interno dell'azienda.

Apparentemente l'hacker ha utilizzato una funzionalità di Hotmail di Microsoft per dirottare l'account di posta elettronica di lavoro del dipendente. Il sito web che ha svelato la notizia la scorsa settimana, TechCrunch, ha riferito che l'hacker ha approfittato di pratiche scorrette per la password, della funzione di account inattivo di Hotmail e delle informazioni personali su Internet per rubare centinaia di documenti Twitter. TechCrunch è riuscito a convincere Hacker Croll a rivelare i dettagli di questo attacco.

Come è iniziato questo processo?

È iniziato con l'account Gmail personale dell'assistente amministrativo che lavora su Twitter. Come con molte altre applicazioni Web, l'edizione personale di Gmail ha una funzione di recupero della password che presenta all'utente una serie di sfide per dimostrare la propria identità in modo che la password possa essere reimpostata. Alla richiesta di recuperare la password, Hacker Croll ha avuto un colpo di fortuna quando Gmail lo ha informato che un'e-mail era stata inviata all'account e-mail secondario dell'utente. Attraverso alcune supposizioni piuttosto semplici, Hacker Croll ha dedotto che questo account di posta elettronica secondario era ospitato su Hotmail.com.

A Hotmail, Hacker Croll ha tentato ancora una volta la procedura di recupero della password, eseguendo una stima istruita di quale potrebbe essere il nome utente in base alla quantità di ricerche che aveva fatto su questo dipendente e altri che lavoravano su Twitter, scavando in Internet per possibili risposte . È a questo punto che Hacker Croll ha scoperto che l'account specificato come secondario per Gmail e ospitato su Hotmail non era più attivo. Ciò è dovuto a una politica di Hotmail in cui gli account vecchi e dormienti vengono rimossi e riciclati.

Dopo aver registrato l'account e aver richiesto nuovamente la funzione di recupero password da Gmail, Hacker Croll si è trovato ad accedere all'account Gmail personale di un dipendente di Twitter. Le applicazioni web ben progettate non daranno mai a un utente la propria password se la dimentica, costringeranno l'utente a sceglierne una nuova. Questo è ciò che ha fatto Hacker Croll. Tuttavia, per non avvisare il proprietario dell'account che il suo account era stato compromesso, avrebbe dovuto in qualche modo scoprire qual era la password originale di Gmail e reimpostarla.

È qui che entra in gioco una cattiva abitudine per quanto riguarda la pratica della password. La maggior parte di noi ne è colpevole; usando la stessa password ovunque andiamo. Trovando un'e-mail inviata al proprietario dell'account associato a un servizio Web casuale a cui l'utente si era abbonato, ha dettagliato la password in chiaro. Questa particolare password è stata trovata più di una volta in e-mail simili. Hacker Croll poteva ora presumere con sicurezza che questa stessa password fosse utilizzata anche per l'account Gmail.

Da qui, Hacker Croll è riuscito ad accedere all'account e-mail di lavoro dell'utente, ospitato su Google Apps for Domains. Sembra che questo dipendente (e in effetti molti altri che lavorano su Twitter) abbia usato la stessa password per la sua e-mail di lavoro come ha fatto con il suo account Gmail personale. Da quel momento in poi, l'intrusione di Hacker Croll si diffuse a macchia d'olio. Utilizzando l'unico account Gmail personale a cui era riuscito ad accedere come punto di partenza, alla fine è riuscito a infettare un certo numero di account su una serie di servizi diversi sia all'interno che all'esterno di Twitter.

Una volta che Hacker Croll ha avuto accesso all'account e-mail Twitter del dipendente ospitato da Google, è stato in grado di scaricare allegati all'e-mail che includevano informazioni sensibili, tra cui più password e nomi utente. Ha rapidamente rilevato gli account di almeno tre dirigenti senior, tra cui il CEO di Twitter, Evan Williams, e uno dei suoi co-fondatori, Biz Stone. La ricerca nei loro allegati di posta elettronica ha portato al download di un'abbondanza di dati più sensibili.

Hacker Croll si è presto diffuso da qui, accedendo ad AT&T per i registri telefonici, Amazon per la cronologia degli acquisti, MobileMe per e-mail più personali e iTunes per informazioni complete sulla carta di credito. Alla fine, quando Hacker Croll aveva terminato la sua diffusa infiltrazione, era riuscito a ottenere abbastanza informazioni personali e lavorative su importanti dirigenti di Twitter da rendere le loro vite infelici. Anche a questo punto, Twitter non aveva assolutamente idea di essere stati compromessi.

Quali erano le intenzioni di Hacker Croll dopo aver portato a termine questo processo?

Secondo TechCrunch, tutto ciò che Hacker Croll intendeva fare era evidenziare i punti deboli nelle politiche di sicurezza dei dati di Twitter e convincere loro e altre start-up a prendere in considerazione misure di sicurezza più forti. Questa potrebbe benissimo essere la verità, poiché ciò che sarebbe potuto accadere inevitabilmente è stato che Hacker Croll vendesse le informazioni che aveva ottenuto per realizzare un profitto, cosa che non ha fatto. Invece, i documenti che ha acquisito attraverso la sua incursione su Twitter sono stati inviati a più siti web, incluso TechCrunch, per dimostrare il suo valore.

Twitter ha minacciato azioni legali contro i siti, incluso TechCrunch, che hanno pubblicato i documenti rubati, ma gli esperti legali hanno avvertito la scorsa settimana che era difficile prevedere se avrebbe avuto successo.