Hacker: Jeg brød ind i Twitter

For anden gang i år har en hacker fået administrativ adgang til en Twitter-medarbejders konto.

På onsdag sendte en anonym hacker ved navn Hacker Croll 13 screenshots til et fransk online diskussionsforum, tilsyneladende fanget mens du er logget ind på Twitter-kontoen af ​​Jason Goldman, en direktør for produktstyring med Twitter.

Twitter Cofounder Biz Stone bekræftede bruddet i et blogindlæg torsdag eftermiddag. "Denne uge blev uautoriseret adgang til kvidre vundet af en ekstern part," skrev han. "Vores første sikkerhedsvurderinger og undersøgelser viser, at ingen kontooplysninger blev ændret eller fjernet på nogen måde. Vi fandt imidlertid ud af, at 10 individuelle konti blev set under denne uautoriserede adgang."

[Yderligere læsning: Sådan fjernes malware fra dine Windows PC]

Ifølge skærmbillederne kunne Hacker Croll få adgang til kontooplysninger, der tilhører højt profilerede Twitter-brugere som Britney Spears og Ashton Kutcher. Han kunne også gøre ting som f.eks. Tilføje eller fjerne udvalgte brugere, der foreslås nye Twitter-medlemmer, når de tilmelder sig.

Hackeren har muligvis fået adgang til oplysninger som e-mail-adresser, mobilnumre og en liste over de konti, der er blokeret af disse brugere, skrev stone. "Vi har personligt kontaktet Twitter-brugere, hvis konti blev kompromitteret via denne uautoriserede adgang," sagde han.

Gættede kodeord

Hacker Croll hævdede at have fået adgang til Goldman's Twitter-kodeord ved først at få adgang til hans Yahoo-konto. "En af adminserne har en yahoo-konto, jeg har nulstillet adgangskoden ved at besvare det hemmelige spørgsmål. Derefter har jeg fundet hendes [sic] twitter password i hende," sagde Hacker Croll onsdag i en udstationering til en online diskussionsforum. "Jeg har kun brugt socialteknik, ingen udnyttelse, ingen xss sårbarhed, ingen bagdør, np sql injektion."

På mandag sendte Goldman en Twitter-besked, der sagde, at hans Yahoo-mailkonto var blevet hacket.

Twitter har havde et udslæt af sikkerhedsproblemer i år.

I januar sagde en anden hacker, der hedder GMZ, at han var i stand til at få adgang til en administrativ konto ved at gætte adgangskoden til en Twitter supportpersonale. Adgangskoden var angiveligt et let at gætte ord: glæde.

GMZ brugte derefter adgangen til at tage kontrol over 33 højt profilerede konti, herunder dem til Spears, USAs præsident Barack Obama og Fox News.

Gentagne angreb

Twitter er også ramt af flere hurtige spredningsormsangreb i år, der forvildede webprogrammeringsfejl på webstedet.

Selvom Twitter-administrerende direktør Biz Stone lovede en "fuld sikkerhedsanmeldelse af alle adgangspunkter til Twitter" efter Januar-hændelsen er webstedets sikkerhed "meget svag", ifølge Manuel Dorne, den franske blogger og it-projektleder, der først offentliggjorde nyheder om den seneste Twitter-hack.

Stone lavede et lignende løfte denne gang også. "Twitter tager sikkerhed meget alvorligt, så vi vil gennemføre en grundig, uafhængig sikkerhedsrevision af alle interne systemer og implementere yderligere anti-indtrængende foranstaltninger for yderligere at beskytte brugerdata," skrev han torsdag.

Enhver, der forsøger at logge ind på admin. twitter.com får en login prompt, og da Twitter brugernavne allerede er offentlige, skal angriberne kun gætte adgangskoden. Det kunne have været hvad der skete med Goldmans konto, sagde Dorne. "Måske var adgangskoden navnet på hans barn eller hans kone, og hackeren vidste det."

Disse typer angreb, kaldet samfundstekniske angreb fra forskere, er effektive og almindelige. Sidste år brugte en hacker den samme teknik som beskrevet af Hacker Croll for at få adgang til Yahoo-e-mail-kontoen for vicepræsidentkandidat Sarah Palin.

"Vi skal være forsigtige og ikke undervurdere socialtekniske angreb," sagde Lance James, medstifter af konsulentfirmaet Secure Science, via instant message. "Hvis de arbejder for at stjæle penge fra banker, vil det være trivielt at kapre sociale netværk som Twitter."