Twitter ponownie zhakowany, tym razem z pomocą Hotmail

Kiedy haker, nazywający siebie Hacker Croll, włamał się na konto e-mail asystenta administracyjnego, wykorzystał to do zebrania informacji, które umożliwiły mu dostęp do konta Google Apps pracownika. Osoby pracujące w Twitterze wykorzystują korporacyjną wersję Google Apps do udostępniania dokumentów i innych informacji w firmie.

Najwyraźniej haker wykorzystał funkcję Microsoft Hotmail, aby przejąć służbowe konto e-mail pracownika. Witryna internetowa, która ujawniła tę historię w zeszłym tygodniu, TechCrunch, poinformowała, że haker wykorzystał złe praktyki dotyczące haseł, funkcję nieaktywnego konta Hotmail i dane osobowe w Internecie, aby ukraść setki dokumentów z Twittera. TechCrunch zdołał przekonać Hackera Crolla do ujawnienia szczegółów tego ataku.

Jak rozpoczął się ten proces?

Zaczęło się od osobistego konta Gmail asystenta administracyjnego pracującego na Twitterze. Podobnie jak w przypadku wielu innych aplikacji internetowych, Gmail w wersji osobistej ma funkcję odzyskiwania hasła, która stawia przed użytkownikiem szereg wyzwań związanych z udowodnieniem tożsamości, aby można było zresetować hasło. Prosząc o odzyskanie hasła, Hacker Croll miał szczęście, gdy Gmail poinformował go, że wiadomość e-mail została wysłana na drugie konto e-mail użytkownika. Poprzez dość proste zgadywanie, Hacker Croll wywnioskował, że to dodatkowe konto e-mail jest hostowane na Hotmail.com.

W Hotmail Hacker Croll po raz kolejny spróbował procedury odzyskiwania hasła, przeprowadzając wykształcone oszacowanie tego, jaka może być nazwa użytkownika na podstawie ilości badań, które przeprowadził na tym pracowniku i innych osobach pracujących na Twitterze, przeszukując Internet w poszukiwaniu prawdopodobnych odpowiedzi . W tym momencie Hacker Croll odkrył, że konto określone jako pomocnicze dla Gmaila i hostowane w Hotmail nie było już aktywne. Wynika to z polityki Hotmail, w której stare i nieaktywne konta są usuwane i poddawane recyklingowi.

Po zarejestrowaniu konta i ponownym zażądaniu funkcji odzyskiwania hasła z Gmaila, Hacker Croll znalazł dostęp do osobistego konta Gmail pracownika Twittera. Dobrze zaprojektowane aplikacje internetowe nigdy nie podadzą użytkownikowi hasła, jeśli je zapomni, zmuszą go do wybrania nowego. To właśnie zrobił Hacker Croll. Aby jednak nie powiadomić właściciela konta, że jego konto zostało naruszone, musiałby jakoś odkryć oryginalne hasło do Gmaila i przywrócić je.

W tym miejscu pojawia się zły nawyk związany z praktyką haseł. Większość z nas jest tego winna; używając wszędzie tego samego hasła. Odnalezienie e-maila wysłanego do właściciela konta powiązanego z jakąś przypadkową usługą internetową, którą subskrybował użytkownik, wyszczególnia hasło w postaci zwykłego tekstu. To konkretne hasło zostało znalezione więcej niż raz w podobnych wiadomościach e-mail. Hacker Croll mógł teraz bezpiecznie założyć, że to samo hasło było również używane do konta Gmail.

Z tego miejsca Hacker Croll zdołał uzyskać dostęp do służbowego konta e-mail użytkownika hostowanego w Google Apps for Domains. Wygląda na to, że ten pracownik (a tak naprawdę kilka innych osób pracujących na Twitterze) używał tego samego hasła do swojej służbowej poczty e-mail, co do swojego osobistego konta Gmail. Od tego momentu wtargnięcie Hackera Crolla rozprzestrzeniło się lotem błyskawicy. Wykorzystując jako punkt wyjścia pojedyncze osobiste konto Gmail, do którego udało mu się uzyskać dostęp, w końcu udało mu się zainfekować kilka kont w wielu różnych usługach, zarówno wewnątrz, jak i poza Twitterem.

Gdy Hacker Croll uzyskał dostęp do konta e-mail pracownika na Twitterze hostowanego przez Google, mógł pobrać załączniki do wiadomości e-mail, które zawierały poufne informacje, w tym więcej haseł i nazw użytkowników. Szybko przejął konta co najmniej trzech menedżerów wyższego szczebla, w tym CEO Twittera Evana Williamsa i jednego z jego współzałożycieli, Biz Stone. Przeszukiwanie ich załączników do wiadomości e-mail doprowadziło do pobrania wielu bardziej wrażliwych danych.

Hacker Croll wkrótce rozprzestrzenił się stąd, uzyskując dostęp do AT&T do rejestrów telefonów, Amazon do historii zakupów, MobileMe do bardziej osobistych wiadomości e-mail i iTunes, aby uzyskać pełne informacje o karcie kredytowej. W końcu, kiedy Hacker Croll zakończył swoją powszechną infiltrację, udało mu się zdobyć wystarczająco dużo informacji osobistych i zawodowych na temat ważnych menedżerów Twittera, aby uprzykrzyć im życie. Nawet w tym momencie Twitter nie miał absolutnie pojęcia, że zostali skompromitowani.

Jakie były intencje Hackera Crolla po zakończeniu tego procesu?

Według TechCrunch, wszystko, co chciał zrobić Hacker Croll, to podkreślić słabości polityki bezpieczeństwa danych Twittera i skłonić ich i inne firmy rozpoczynające działalność do rozważenia silniejszych środków bezpieczeństwa. To może być prawda, ponieważ nieuchronnie mogło się zdarzyć, że Hacker Croll sprzedał zdobyte informacje w celu osiągnięcia zysku, czego nie zrobił. Zamiast tego dokumenty, które nabył podczas wtargnięcia na Twittera, zostały wysłane do wielu witryn internetowych, w tym TechCrunch, w celu udowodnienia jego wartości.

Twitter zagroził podjęciem kroków prawnych przeciwko stronom, w tym TechCrunch, które opublikowały skradzione dokumenty, ale eksperci prawni ostrzegli w zeszłym tygodniu, że trudno jest przewidzieć, czy to się powiedzie.