Twitter opnieuw gehackt, deze keer met hulp van Hotmail
Toen een hacker, die zichzelf Hacker Croll noemde, inbrak in het e-mailaccount van de administratief medewerker, gebruikte hij dit om informatie te verzamelen waarmee hij toegang kreeg tot het Google Apps-account van de werknemer. Degenen die bij Twitter werken, gebruiken de bedrijfsversie van Google Apps om documenten en andere informatie binnen het bedrijf te delen.
Blijkbaar heeft de hacker een functie van Microsoft's Hotmail gebruikt om het zakelijke e-mailaccount van de werknemer te kapen. De website die vorige week het verhaal brak, TechCrunch, meldde dat de hacker misbruik maakte van slechte wachtwoordpraktijken, de inactieve accountfunctie van Hotmail en persoonlijke informatie op internet om honderden Twitter-documenten te stelen. TechCrunch slaagde erin Hacker Croll te overtuigen om de details van deze aanval te onthullen.
Hoe is dit proces begonnen?
Het begon met het persoonlijke Gmail-account van de administratief medewerker van Twitter. Zoals met veel andere webapplicaties, heeft de persoonlijke editie van Gmail een wachtwoordherstelfunctie die een gebruiker een aantal uitdagingen biedt om zijn identiteit te bewijzen, zodat zijn wachtwoord opnieuw kan worden ingesteld. Bij het verzoek om het wachtwoord te herstellen, had Hacker Croll geluk toen Gmail hem liet weten dat er een e-mail was verzonden naar het secundaire e-mailaccount van de gebruiker. Door wat vrij eenvoudig giswerk concludeerde Hacker Croll dat dit secundaire e-mailaccount werd gehost op Hotmail.com.
Bij Hotmail probeerde Hacker Croll nogmaals de procedure voor wachtwoordherstel, waarbij hij een weloverwogen schatting maakte van wat de gebruikersnaam zou kunnen zijn op basis van de hoeveelheid onderzoek die hij had gedaan naar deze werknemer en anderen die bij Twitter werkten, door op internet te zoeken naar mogelijke antwoorden . Op dat moment ontdekte Hacker Croll dat het account dat als secundair voor Gmail was opgegeven en dat werd gehost bij Hotmail, niet langer actief was. Dit komt door een beleid bij Hotmail waarbij oude en slapende accounts worden verwijderd en gerecycled.
Na het registreren van het account en het opnieuw aanvragen van de wachtwoordherstelfunctie van Gmail, merkte Hacker Croll dat hij toegang had tot het persoonlijke Gmail-account van een Twitter-medewerker. Goed ontworpen webapplicaties zullen een gebruiker nooit zomaar hun wachtwoord geven als ze het vergeten, ze zullen de gebruiker dwingen een nieuw wachtwoord te kiezen. Dit is wat Hacker Croll deed. Om de accounteigenaar echter niet te waarschuwen dat hun account was gehackt, moest hij op de een of andere manier ontdekken wat het oorspronkelijke Gmail-wachtwoord was en het terugzetten.
Dit is waar een slechte gewoonte met betrekking tot het oefenen van wachtwoorden in het spel komt. De meesten van ons maken zich er schuldig aan; overal hetzelfde wachtwoord gebruiken. Toen hij een e-mail vond die naar de accounteigenaar was gestuurd en die was gekoppeld aan een willekeurige webservice waarop de gebruiker zich had geabonneerd, werd het wachtwoord in leesbare tekst beschreven. Dit specifieke wachtwoord is meer dan eens gevonden in vergelijkbare e-mails. Hacker Croll kon nu veilig aannemen dat hetzelfde wachtwoord ook voor het Gmail-account werd gebruikt.
Vanaf hier slaagde Hacker Croll erin om toegang te krijgen tot het zakelijke e-mailaccount van de gebruiker, gehost op Google Apps for Domains. Het lijkt erop dat deze medewerker (en in feite meerdere anderen die bij Twitter werken) hetzelfde wachtwoord voor zijn zakelijke e-mail gebruikte als voor zijn persoonlijke Gmail-account. Vanaf dat moment verspreidde de inbraak van Hacker Croll zich als een lopend vuurtje. Met het enkele persoonlijke Gmail-account waartoe hij toegang had weten te krijgen als uitgangspunt, slaagde hij er uiteindelijk in om een aantal accounts te infecteren op een aantal verschillende diensten, zowel binnen als buiten Twitter.
Zodra Hacker Croll toegang had tot het Twitter-e-mailaccount van de werknemer dat werd gehost door Google, kon hij bijlagen bij e-mail downloaden die gevoelige informatie bevatten, waaronder meer wachtwoorden en gebruikersnamen. Hij nam snel de rekeningen over van ten minste drie senior executives, waaronder de CEO van Twitter, Evan Williams, en een van de mede-oprichters, Biz Stone. Het doorzoeken van hun e-mailbijlagen leidde tot een overvloed aan gevoeligere gegevens die werden gedownload.
Hacker Croll verspreidde zich al snel van hieruit en had toegang tot AT&T voor telefoonlogboeken, Amazon voor aankoopgeschiedenis, MobileMe voor meer persoonlijke e-mails en iTunes voor volledige creditcardgegevens. Uiteindelijk, toen Hacker Croll zijn wijdverbreide infiltratie had beëindigd, was hij erin geslaagd voldoende persoonlijke en werkinformatie over belangrijke Twitter-managers te verkrijgen om hun leven zuur te maken. Zelfs op dit punt had Twitter absoluut geen idee dat ze waren gecompromitteerd.
Wat waren de bedoelingen van Hacker Croll na het voltooien van dit proces?
Volgens TechCrunch was het enige dat Hacker Croll van plan was de zwakke punten in het gegevensbeveiligingsbeleid van Twitter te benadrukken en hen en andere startende bedrijven ertoe aan te zetten strengere beveiligingsmaatregelen te overwegen. Dit kan heel goed de waarheid zijn, want wat onvermijdelijk had kunnen gebeuren, was dat Hacker Croll de informatie die hij had verkregen, verkocht om winst te maken, wat hij niet heeft gedaan. In plaats daarvan werden de documenten die hij verwierf via zijn inval op Twitter naar meerdere websites gestuurd, waaronder TechCrunch, om zijn waarde te bewijzen.
Twitter heeft gedreigd met juridische stappen tegen de sites, waaronder TechCrunch, die de gestolen documenten hebben gepubliceerd, maar juridische experts waarschuwden vorige week dat het moeilijk te voorspellen was of het zou lukken.