Techcrunch revela más detalles del ataque a Twitter de la mano del “Hacker Croll”, el autor de la intrusión, un francés de 20 años. Relacionada (contrasena-servidores-twitter-era-password)
1. El intruso (HC) accede a la cuenta de Gmail de un empleado de Twitter usando la funcionalidad de recuperación de contraseñas que envía a la cuenta de email secundaria un correo con un link para restablecer la contraseña. En este caso, ésta era una cuenta de Hotmail que estaba caducada y el intruso simplemente la registró.
2. HC lee entonces los emails para adivinar cuál era la contraseña original y la vuelve a cambiar para que el empleado no note nada.
3. HC usa entonces la misma contraseña para acceder al email del empleado de Twitter a través de Google Apps, obteniendo acceso a una mina de oro de información sensible en los propios correos y, especialmente, en los ficheros adjuntos
4. HC usa entonces esa información junto a conjeturas y "reseteos" de contraseñas para controlar las cuentas de correo personales y profesionales de otros empleados de Twitter.
5. A continuación usa las mismas combinaciones de nombre de usuario y contraseña y la funcionalidad de recuperación de contraseñas para acceder a AT&T, MobileMe, Amazon y iTunes, entre otros servicios. Un agujero de seguridad en iTunes dio a HC acceso a información de tarjetas de crédito en texto claro.
6. Incluso en este punto en Twitter no tenían ni idea de que habían sido comprometidos.
Comentarios
1. El intruso (HC) accede a la cuenta de Gmail de un empleado de Twitter usando la funcionalidad de recuperación de contraseñas que envía a la cuenta de email secundaria un correo con un link para restablecer la contraseña. En este caso, ésta era una cuenta de Hotmail que estaba caducada y el intruso simplemente la registró.
2. HC lee entonces los emails para adivinar cuál era la contraseña original y la vuelve a cambiar para que el empleado no note nada.
3. HC usa entonces la misma contraseña para acceder al email del empleado de Twitter a través de Google Apps, obteniendo acceso a una mina de oro de información sensible en los propios correos y, especialmente, en los ficheros adjuntos
4. HC usa entonces esa información junto a conjeturas y "reseteos" de contraseñas para controlar las cuentas de correo personales y profesionales de otros empleados de Twitter.
5. A continuación usa las mismas combinaciones de nombre de usuario y contraseña y la funcionalidad de recuperación de contraseñas para acceder a AT&T, MobileMe, Amazon y iTunes, entre otros servicios. Un agujero de seguridad en iTunes dio a HC acceso a información de tarjetas de crédito en texto claro.
6. Incluso en este punto en Twitter no tenían ni idea de que habían sido comprometidos.
Y la suerte que han tenido en ésta ocasión:
No hice esto para sacar provecho de la información.