Twitter снова взломали, на этот раз с помощью Hotmail

Когда хакер, называющий себя Hacker Croll, взломал учетную запись электронной почты помощника администратора, он использовал ее для сбора информации, которая позволила ему получить доступ к учетной записи Google Apps сотрудника. Сотрудники Twitter используют корпоративную версию Google Apps для обмена документами и другой информацией внутри компании.

По всей видимости, хакер использовал функцию Microsoft Hotmail для взлома учетной записи рабочей электронной почты сотрудника. Веб-сайт TechCrunch, который опубликовал эту историю на прошлой неделе, сообщил, что хакер воспользовался неверными паролями, неактивной функцией учетной записи Hotmail и личной информацией в Интернете, чтобы украсть сотни документов Twitter. TechCrunch удалось убедить Хакера Кролла раскрыть подробности этой атаки.

Как начался этот процесс?

Все началось с личного аккаунта Gmail административного помощника, работающего в Twitter. Как и во многих других веб-приложениях, в личной версии Gmail есть функция восстановления пароля, которая ставит перед пользователем ряд проблем, чтобы подтвердить свою личность и сбросить пароль. На запрос восстановления пароля Хакеру Кроллю повезло, когда Gmail сообщил ему, что электронное письмо было отправлено на дополнительную учетную запись электронной почты пользователя. Путем довольно простых догадок Хакер Кролл пришел к выводу, что эта дополнительная учетная запись электронной почты была размещена на Hotmail.com.

В Hotmail Хакер Кролл еще раз попытался восстановить пароль, выполнив обоснованную оценку имени пользователя, основываясь на объеме исследований, которые он провел в отношении этого сотрудника и других сотрудников Twitter, путем поиска в Интернете вероятных ответов. . Именно в этот момент Hacker Croll обнаружил, что учетная запись, указанная как вторичная для Gmail и размещенная на Hotmail, больше не активна. Это связано с политикой Hotmail, согласно которой старые и неактивные учетные записи удаляются и перерабатываются.

После регистрации учетной записи и повторного запроса функции восстановления пароля из Gmail, Хакер Кролл обнаружил, что у него есть доступ к личной учетной записи Gmail сотрудника Twitter. Хорошо спроектированные веб-приложения никогда просто не дадут пользователю свой пароль, если он его забудет, они заставят пользователя выбрать новый. Это то, что сделал Хакер Кролл. Однако, чтобы не предупредить владельца учетной записи о том, что его учетная запись была взломана, ему необходимо каким-то образом узнать, что это был за исходный пароль Gmail, и восстановить его.

Здесь в игру вступает дурная привычка, связанная с практикой паролей. Большинство из нас виновно в этом; используя один и тот же пароль везде, куда бы мы ни пошли. Обнаружив электронное письмо, отправленное владельцу учетной записи, связанное с какой-то случайной веб-службой, на которую пользователь подписался, он подробно описал пароль в виде открытого текста. Этот конкретный пароль неоднократно встречался в похожих электронных письмах. Теперь хакер Кролл мог сделать безопасное предположение, что этот же пароль использовался и для учетной записи Gmail.

Отсюда Hacker Croll смог получить доступ к учетной записи рабочей электронной почты пользователя, размещенной в Google Apps для доменов. Похоже, что этот сотрудник (и на самом деле еще несколько человек, работающих в Twitter) использовал тот же пароль для своей рабочей электронной почты, что и для своей личной учетной записи Gmail. С этого момента вторжение Хакера Кролла распространилось как лесной пожар. Используя единую личную учетную запись Gmail, к которой ему удалось получить доступ в качестве отправной точки, ему в конечном итоге удалось заразить несколько учетных записей в различных сервисах как внутри, так и за пределами Twitter.

Как только Хакер Кролл получил доступ к учетной записи электронной почты сотрудника в Twitter, размещенной в Google, он смог загрузить вложения к электронным письмам, которые включали конфиденциальную информацию, в том числе другие пароли и имена пользователей. Он быстро завладел аккаунтами как минимум трех руководителей высшего звена, включая генерального директора Twitter Эвана Уильямса и одного из его соучредителей Биза Стоуна. Поиск их вложений электронной почты привел к скачиванию большого количества более конфиденциальных данных.

Хакер Кролл вскоре распространился отсюда, обращаясь к AT&T за телефонными журналами, Amazon за историей покупок, MobileMe за дополнительными личными сообщениями электронной почты и iTunes за полной информацией о кредитной карте. В конце концов, когда Хакер Кролл закончил свое широкомасштабное проникновение, ему удалось получить достаточно личной и рабочей информации о важных руководителях Твиттера, чтобы сделать их жизнь несчастной. Даже в этот момент Твиттер не подозревал, что они были скомпрометированы.

Каковы были намерения Хакера Кролла после завершения этого процесса?

Согласно TechCrunch, все, что намеревался сделать Хакер Кролл, - это выделить слабые места в политике безопасности данных Twitter и побудить их и другие начинающие компании подумать о более жестких мерах безопасности. Это вполне может быть правдой, поскольку то, что неизбежно могло произойти, - это то, что Хакер Кролл продавал информацию, которую он получил, для получения прибыли, чего он не сделал. Вместо этого документы, которые он приобрел во время своего вторжения в Twitter, были отправлены на несколько веб-сайтов, включая TechCrunch, чтобы доказать свою ценность.

Twitter пригрозил судебным иском против сайтов, в том числе TechCrunch, которые опубликовали украденные документы, но на прошлой неделе юристы предупредили, что трудно предсказать, удастся ли это сделать.