#1 1. El intruso (HC) accede a la cuenta de Gmail de un empleado de Twitter usando la funcionalidad de recuperación de contraseñas que envía a la cuenta de email secundaria un correo con un link para restablecer la contraseña. En este caso, ésta era una cuenta de Hotmail que estaba caducada y el intruso simplemente la registró.
2. HC lee entonces los emails para adivinar cuál era la contraseña original y la vuelve a cambiar para que el empleado no note nada.
3. HC usa entonces la misma contraseña para acceder al email del empleado de Twitter a través de Google Apps, obteniendo acceso a una mina de oro de información sensible en los propios correos y, especialmente, en los ficheros adjuntos
4. HC usa entonces esa información junto a conjeturas y "reseteos" de contraseñas para controlar las cuentas de correo personales y profesionales de otros empleados de Twitter.
5. A continuación usa las mismas combinaciones de nombre de usuario y contraseña y la funcionalidad de recuperación de contraseñas para acceder a AT&T, MobileMe, Amazon y iTunes, entre otros servicios. Un agujero de seguridad en iTunes dio a HC acceso a información de tarjetas de crédito en texto claro.
6. Incluso en este punto en Twitter no tenían ni idea de que habían sido comprometidos.
2. HC lee entonces los emails para adivinar cuál era la contraseña original y la vuelve a cambiar para que el empleado no note nada.
3. HC usa entonces la misma contraseña para acceder al email del empleado de Twitter a través de Google Apps, obteniendo acceso a una mina de oro de información sensible en los propios correos y, especialmente, en los ficheros adjuntos
4. HC usa entonces esa información junto a conjeturas y "reseteos" de contraseñas para controlar las cuentas de correo personales y profesionales de otros empleados de Twitter.
5. A continuación usa las mismas combinaciones de nombre de usuario y contraseña y la funcionalidad de recuperación de contraseñas para acceder a AT&T, MobileMe, Amazon y iTunes, entre otros servicios. Un agujero de seguridad en iTunes dio a HC acceso a información de tarjetas de crédito en texto claro.
6. Incluso en este punto en Twitter no tenían ni idea de que habían sido comprometidos.
No hice esto para sacar provecho de la información.