다중 장치 라이선스 (대량 할인)

지역 변경

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語 한국어
Computer Security Twitter가 다시 해킹되었습니다. 이번에는 Hotmail의 도움으로

Twitter가 다시 해킹되었습니다. 이번에는 Hotmail의 도움으로

Computer Security년에 Sumo3000 년까지
번역 :
한국어

자신을 Hacker Croll이라고 부르는 해커가 관리 비서의 이메일 계정에 침입했을 때이를 사용하여 직원의 Google Apps 계정에 액세스 할 수있는 정보를 수집했습니다. Twitter에서 일하는 사람들은 회사 내에서 문서 및 기타 정보를 공유하기 위해 Google Apps의 회사 버전을 사용합니다.

해커는 Microsoft의 Hotmail 기능을 사용하여 직원의 업무용 전자 메일 계정을 탈취 한 것 같습니다. 지난주 이야기를 깨뜨린 웹 사이트 인 TechCrunch는 해커가 수백 개의 트위터 문서를 훔치기 위해 열악한 암호 관행, Hotmail의 비활성 계정 기능 및 인터넷의 개인 정보를 이용했다고보고했습니다. TechCrunch는 Hacker Croll을 설득하여이 공격의 세부 사항을 공개했습니다.

이 과정은 어떻게 시작 되었습니까?

트위터에서 일하는 관리 비서의 개인 Gmail 계정으로 시작되었습니다. 다른 많은 웹 애플리케이션과 마찬가지로 개인용 Gmail에는 비밀번호를 재설정 할 수 있도록 신원을 증명하기 위해 사용자에게 여러 가지 문제를 제시하는 비밀번호 복구 기능이 있습니다. 비밀번호 복구를 요청한 Hacker Croll은 Gmail이 사용자의 보조 이메일 계정으로 이메일을 보냈다는 알림을 받았을 때 행운의 휴식을 취했습니다. 다소 간단한 추측 작업을 통해 Hacker Croll은이 보조 이메일 계정이 Hotmail.com에서 호스팅되었다고 추론했습니다.

Hotmail에서 Hacker Croll은 한 번 더 암호 복구 절차를 시도하여이 직원과 Twitter에서 일하는 다른 사람들에 대해 수행 한 조사의 양을 기반으로 사용자 이름이 무엇인지에 대한 교육적인 평가를 수행하고 인터넷을 통해 가능한 응답을 찾아 보았습니다. . 이 시점에서 Hacker Croll은 Gmail의 보조 계정으로 지정되고 Hotmail에서 호스팅 된 계정이 더 이상 활성 상태가 아님을 발견했습니다. 이는 이전 및 휴면 계정을 제거하고 재활용하는 Hotmail의 정책 때문입니다.

계정을 등록하고 Gmail에서 비밀번호 복구 기능을 다시 요청한 후 Hacker Croll은 트위터 직원의 개인 Gmail 계정에 대한 액세스 권한을 갖게되었습니다. 잘 설계된 웹 응용 프로그램은 사용자가 암호를 잊어 버린 경우 사용자에게 암호를 제공하지 않으며 사용자가 새 암호를 선택하도록 강요합니다. 이것이 Hacker Croll이 한 일입니다. 그러나 계정 소유자에게 자신의 계정이 도용되었음을 알리지 않으려면 원래 Gmail 비밀번호가 무엇인지 알아 내고 다시 설정해야합니다.

이것은 암호 연습과 관련된 나쁜 습관이 작용하는 곳입니다. 우리 대부분은 그것에 대해 유죄입니다. 어디를 가든 동일한 암호를 사용합니다. 사용자가 가입 한 임의의 웹 서비스와 관련된 계정 소유자에게 보낸 전자 메일을 찾아 암호를 일반 텍스트로 자세히 설명했습니다. 이 특정 비밀번호는 유사한 이메일에서 두 번 이상 발견되었습니다. Hacker Croll은 이제 동일한 비밀번호가 Gmail 계정에도 사용되었다는 안전한 가정을 할 수 있습니다.

여기에서 Hacker Croll은 Google Apps for Domains에서 호스팅되는 사용자의 업무용 이메일 계정에 액세스 할 수있었습니다. 이 직원 (실제로 트위터에서 일하는 여러 사람)은 개인 Gmail 계정에서했던 것과 동일한 암호를 업무용 이메일에 사용한 것으로 보입니다. 그 순간부터 Hacker Croll의 침입은 산불처럼 퍼졌습니다. 시작점으로 액세스 할 수 있었던 단일 개인 Gmail 계정을 사용하여 결국 그는 트위터 내부와 외부의 여러 서비스에서 여러 계정을 감염시킬 수있었습니다.

Hacker Croll이 Google에서 호스팅하는 직원의 Twitter 이메일 계정에 액세스 한 후 더 많은 비밀번호와 사용자 이름을 포함하여 민감한 정보가 포함 된 이메일에 첨부 파일을 다운로드 할 수있었습니다. 그는 트위터의 CEO 인 Evan Williams와 공동 창립자 중 한 명인 Biz Stone을 포함하여 최소 3 명의 고위 간부의 계정을 신속하게 인수했습니다. 전자 메일 첨부 파일을 검색하면 더 많은 민감한 데이터가 다운로드되었습니다.

Hacker Croll은 곧 여기에서 외부로 퍼져 전화 로그는 AT & T, 구매 내역은 Amazon, 개인 이메일은 MobileMe, 전체 신용 카드 정보는 iTunes에 액세스합니다. 결국 Hacker Croll이 그의 광범위한 침투를 마쳤을 때, 그는 중요한 트위터 임원들의 삶을 비참하게 만들만큼 충분한 개인 정보와 업무 정보를 얻을 수있었습니다. 이 시점에서도 트위터는 자신이 타협 당했는지 전혀 몰랐습니다.

이 과정을 완료 한 후 Hacker Croll의 의도는 무엇입니까?

TechCrunch에 따르면 Hacker Croll이 의도 한 모든 작업은 트위터의 데이터 보안 정책의 약점을 강조하고 이들과 다른 신생 기업이 더 강력한 보안 조치를 고려하도록 유도하는 것이 었습니다. 해커 크롤이 이익을 내기 위해 얻은 정보를 팔았지만, 그가하지 않은 일이기 때문에 이것은 진실 일 수 있습니다. 대신 그가 트위터를 통해 얻은 문서는 그의 가치를 증명하기 위해 TechCrunch를 포함한 여러 웹 사이트로 전송되었습니다.

트위터는 훔친 문서를 게시 한 테크 크런치를 포함한 사이트에 대해 법적 조치를 취하겠다고 위협했지만 법률 전문가들은 지난주 성공 여부를 예측하기 어렵다고 경고했다.

로드 중...