Twitter hackade igen, den här gången med hjälp från Hotmail

När en hackare, som kallade sig Hacker Croll, bröt sig in i administratörens e-postkonto, använde han detta för att samla in information som gav honom tillgång till anställdens Google Apps-konto. De som arbetar på Twitter använder företagsversionen av Google Apps för att dela dokument och annan information inom företaget.

Tydligen använde hackaren en funktion i Microsofts Hotmail för att kapa den anställdes e-postkonto. Webbplatsen som bröt historien förra veckan, TechCrunch, rapporterade att hackaren utnyttjade dåliga lösenordsrutiner, Hotmails inaktiva kontofunktion och personlig information på Internet för att stjäla hundratals Twitter-dokument. TechCrunch lyckades övertala Hacker Croll att avslöja detaljerna i denna attack.

Hur började denna process?

Det började med det personliga Gmail-kontot för den administrativa assistenten som arbetar på Twitter. Som med många andra webbapplikationer har den personliga utgåvan Gmail en funktion för återställning av lösenord som ger användaren ett antal utmaningar för att bevisa sin identitet så att lösenordet kan återställas. På begäran om att få tillbaka lösenordet fick Hacker Croll en lycklig paus när Gmail informerade honom om att ett e-postmeddelande hade skickats till användarens sekundära e-postkonto. Genom ett ganska enkelt gissningsarbete drog Hacker Croll slutsatsen att detta sekundära e-postkonto var värd på Hotmail.com.

På Hotmail försökte Hacker Croll än en gång lösenordsåterställningsförfarandet, genom att utföra en utbildad uppskattning av vad användarnamnet kan baseras på mängden forskning han hade gjort på den här anställda och andra som arbetar på Twitter, genom att gräva genom Internet för sannolika svar . Det är vid denna tidpunkt som Hacker Croll upptäckte att kontot som anges som sekundär för Gmail och värd på Hotmail inte längre var aktivt. Detta beror på en policy på Hotmail där gamla och vilande konton tas bort och återvinns.

Efter att ha registrerat kontot och begärt lösenordåterställningsfunktionen från Gmail fann Hacker Croll att han hade tillgång till ett personligt Gmail-konto hos en Twitter-anställd. Väl utformade webbapplikationer kommer aldrig bara att ge en användare sitt lösenord om de glömmer det, de kommer att tvinga användaren att välja en ny. Det här gjorde Hacker Croll. För att inte varna kontoägaren om att deras konto hade äventyrats måste han dock på något sätt upptäcka vad det ursprungliga Gmail-lösenordet var och sätta tillbaka det.

Det är här en dålig vana när det gäller lösenordsövning kommer till spel. De flesta av oss är skyldiga till det; använder samma lösenord överallt där vi går. Att hitta ett e-postmeddelande som skickats till kontoägaren som är associerat med någon slumpmässig webbtjänst som användaren hade prenumererat på, det detaljerade lösenordet i klartext. Detta lösenord hittades mer än en gång i liknande e-postmeddelanden. Hacker Croll kunde nu göra ett säkert antagande att samma lösenord också användes för Gmail-kontot.

Härifrån lyckades Hacker Croll komma åt användarens arbets-e-postkonto, värd på Google Apps for Domains. Det verkar som att denna anställd (och i själva verket flera andra som arbetar på Twitter) använde samma lösenord för sitt e-postmeddelande som han gjorde med sitt personliga Gmail-konto. Från det ögonblicket spriddes Hacker Crolls intrång som en löpeld. Med hjälp av det enda personliga Gmail-kontot som han lyckats få tillgång till som utgångspunkt lyckades han så småningom infektera ett antal konton på ett antal olika tjänster både inom och utanför Twitter.

När Hacker Croll hade tillgång till den anställdes Twitter-e-postkonto som var värd för Google kunde han ladda ner bilagor till e-post som innehöll känslig information, inklusive fler lösenord och användarnamn. Han tog snabbt över räkenskaperna för minst tre ledande befattningshavare, inklusive Twitters VD, Evan Williams, och en av dess grundare, Biz Stone. Sökning i deras bifogade filer via e-post ledde till att ett överflöd av mer känslig data laddades ner.

Hacker Croll sprider sig snart utåt härifrån, får åtkomst till AT&T för telefonloggar, Amazon för inköpshistorik, MobileMe för mer personliga e-postmeddelanden och iTunes för fullständig kreditkortsinformation. I slutändan, när Hacker Croll hade avslutat sin omfattande infiltration, hade han lyckats få tillräckligt med personlig och arbetsinformation om viktiga Twitter-chefer för att göra deras liv eländigt. Även vid denna tidpunkt hade Twitter absolut ingen aning om att de hade äventyrats.

Vad var Hacker Crolls avsikter efter att ha genomfört denna process?

Enligt TechCrunch var allt som Hacker Croll tänkte göra att lyfta fram svagheterna i Twitters datasäkerhetspolicy och få dem och andra nystartade företag att överväga starkare säkerhetsåtgärder. Detta kan mycket väl vara sanningen, eftersom det oundvikligen kunde ha inträffat var att Hacker Croll sålde den information han hade fått för att göra en vinst, vilket han inte har gjort. Istället skickades de dokument han förvärvade genom sin intrång på Twitter till flera webbplatser, inklusive TechCrunch, för att bevisa sitt värde.

Twitter har hotat rättsliga åtgärder mot webbplatserna, inklusive TechCrunch, som har publicerat de stulna dokumenten, men juridiska experter varnade förra veckan att det var svårt att förutsäga om det skulle lyckas.