Хакер: я сломался в Twitter

Во второй раз в этом году хакер получил административный доступ к учетной записи сотрудника Twitter.

В среду анонимный хакер по имени Хакер Кролл опубликовал 13 скриншотов на французском онлайн-форуме, очевидно захваченный во время входа в учетную запись Twitter Джейсона Голдмана, директора по управлению продуктами с помощью Twitter.

Twitter Соучредитель Биз Стоун подтвердил нарушение в блоге в четверг днем. «На этой неделе сторонняя сторона получила неавторизованный доступ к Twitter, - писал он. «Наши первоначальные обзоры и расследования безопасности показывают, что никакая информация об учетной записи не была каким-либо образом изменена или удалена. Однако мы обнаружили, что во время этого несанкционированного доступа было просмотрено 10 отдельных учетных записей».

[Дополнительная информация: Как удалить вредоносное ПО из вашей Windows PC]

Согласно снимкам экрана, Hacker Croll смог получить доступ к информации об учетной записи, принадлежащей высокопоставленным пользователям Twitter, таким как Бритни Спирс и Эштон Катчер. Он также мог бы делать такие вещи, как добавление или удаление признанных пользователей, которые предлагаются новым членам Twitter при регистрации.

Хакер, возможно, смог получить доступ к такой информации, как адреса электронной почты, номера мобильных телефонов и список заблокированных этими пользователями учетных записей, пишет Stone. «Мы лично связались с пользователями Twitter, чьи учетные записи были скомпрометированы с помощью этого несанкционированного доступа», - сказал он.

Угаданные пароли

Хакер Кролл утверждал, что получил доступ к паролю Goldman's Twitter, сначала получив доступ к своей учетной записи Yahoo. «У одного из админов есть учетная запись yahoo, я сбросил пароль, отвечая на секретный вопрос. Затем, в почтовом ящике, я нашел ее [sic] пароль для twitter», - сказал Хакер Кролл в среду, разместив сообщение в Интернете дискуссионный форум. «Я использовал только социальную инженерию, без эксплойта, без xss-уязвимости, без бэкдора, np sql-инъекции».

В понедельник Goldman отправил сообщение Twitter, в котором говорилось, что его почтовая учетная запись Yahoo была взломана.

Twitter имеет в этом году возникли проблемы с безопасностью.

В январе другой хакер, назвавшийся именем GMZ, сказал, что смог получить доступ к административной учетной записи, угадывая пароль сотрудника службы поддержки Twitter. Пароль был, как сообщается, легкомысленным словом: счастье.

GMZ затем использовал этот доступ, чтобы взять под контроль 33 громких аккаунта, в том числе для Спирс, президента США Барака Обамы и Fox News.

Повторные атаки

В этом году в Twitter также попали несколько быстро распространяющихся червей, которые преследовали ошибки веб-программирования на сайте.

Хотя генеральный директор Twitter Биш Стоун пообещал «полный обзор безопасности всех точек доступа в Twitter» после того, как По словам Мануэля Дорна, французского блоггера и менеджера ИТ-проектов, который впервые опубликовал новость о последнем взломе Twitter, он сказал, что безопасность сайта «очень слаба».

В то же время Stone сделал аналогичное обещание. «Twitter очень серьезно относится к безопасности, поэтому мы проведем тщательный независимый аудит безопасности всех внутренних систем и внедрим дополнительные антиинтрузионные меры для дальнейшей защиты данных пользователей», - писал он в четверг.

Любой, кто пытается войти в админ. twitter.com получает приглашение для входа в систему, и поскольку имена пользователей Twitter уже общедоступны, злоумышленникам нужно только угадать пароль. Это могло произойти с учетной записью Гольдмана, сказал Дорн. «Может быть, пароль был именем его ребенка или его жены, и хакер знал это».

Эти виды атак, называемые социальными инженерными атаками исследователей, эффективны и обычны. В прошлом году хакер использовал ту же технику, описанную Hacker Croll, чтобы получить доступ к учетной записи Yahoo по электронной почте кандидата в президенты Сара Пейлин.

«Мы должны быть осторожны и не недооценивать атаки социальной инженерии», - сказал Лэнс Джеймс, соучредитель консалтинговой фирмы Secure Science, посредством мгновенного сообщения. «Если они будут работать за кражу денег у банков, это будет тривиально для захвата социальных сетей, таких как Twitter».