Twitter à nouveau piraté, cette fois avec l'aide de Hotmail
Lorsqu'un pirate informatique, se faisant appeler Hacker Croll, a fait irruption dans le compte de messagerie de l'assistant administratif, il l'a utilisé pour collecter des informations lui permettant d'accéder au compte Google Apps de l'employé. Ceux qui travaillent chez Twitter utilisent la version d'entreprise de Google Apps pour partager des documents et d'autres informations au sein de l'entreprise.
Apparemment, le pirate a utilisé une fonctionnalité de Hotmail de Microsoft pour pirater le compte de messagerie professionnel de l'employé. Le site Web qui a révélé l'histoire la semaine dernière, TechCrunch, a rapporté que le pirate avait profité de mauvaises pratiques en matière de mots de passe, de la fonction de compte inactif de Hotmail et d'informations personnelles sur Internet afin de voler des centaines de documents Twitter. TechCrunch a réussi à persuader Hacker Croll de révéler les détails de cette attaque.
Comment ce processus a-t-il commencé ?
Tout a commencé avec le compte Gmail personnel de l'assistante administrative travaillant sur Twitter. Comme pour de nombreuses autres applications Web, l'édition personnelle de Gmail dispose d'une fonction de récupération de mot de passe qui présente à l'utilisateur un certain nombre de défis afin de prouver son identité afin que son mot de passe puisse être réinitialisé. En demandant à récupérer le mot de passe, Hacker Croll a eu un coup de chance lorsque Gmail l'a informé qu'un e-mail avait été envoyé au compte de messagerie secondaire de l'utilisateur. Grâce à un travail de conjecture assez simple, Hacker Croll a déduit que ce compte de messagerie secondaire était hébergé sur Hotmail.com.
Chez Hotmail, Hacker Croll a une fois de plus tenté la procédure de récupération du mot de passe, effectuant une estimation éclairée de ce que le nom d'utilisateur pourrait être en fonction de la quantité de recherches qu'il avait effectuées sur cet employé et d'autres travaillant sur Twitter, en fouillant sur Internet pour trouver des réponses probables . C'est à ce moment que Hacker Croll a découvert que le compte spécifié comme secondaire pour Gmail et hébergé chez Hotmail n'était plus actif. Cela est dû à une politique de Hotmail selon laquelle les comptes anciens et inactifs sont supprimés et recyclés.
Après avoir enregistré le compte et demandé à nouveau la fonction de récupération de mot de passe à Gmail, Hacker Croll s'est retrouvé avec l'accès au compte Gmail personnel d'un employé de Twitter. Les applications Web bien conçues ne donneront jamais à un utilisateur son mot de passe s'il l'oublie, elles obligeront l'utilisateur à en choisir un nouveau. C'est ce qu'a fait Hacker Croll. Cependant, afin de ne pas alerter le propriétaire du compte que son compte a été compromis, il devrait en quelque sorte découvrir quel était le mot de passe Gmail d'origine et le restaurer.
C'est là qu'une mauvaise habitude en matière de pratique des mots de passe entre en jeu. La plupart d'entre nous en sommes coupables ; en utilisant le même mot de passe partout où nous allons. Trouvant un e-mail envoyé au propriétaire du compte associé à un service Web aléatoire auquel l'utilisateur s'était abonné, il détaillait le mot de passe en texte clair. Ce mot de passe particulier a été trouvé plus d'une fois dans des e-mails similaires. Hacker Croll pouvait désormais supposer en toute sécurité que ce même mot de passe était également utilisé pour le compte Gmail.
À partir de là, Hacker Croll a réussi à accéder au compte de messagerie professionnel de l'utilisateur, hébergé sur Google Apps for Domains. Il semble que cet employé (et en fait, plusieurs autres travaillant sur Twitter) ait utilisé le même mot de passe pour son e-mail professionnel qu'il l'a fait avec son compte Gmail personnel. A partir de ce moment, l'intrusion de Hacker Croll s'est propagée comme une traînée de poudre. En utilisant le seul compte Gmail personnel auquel il avait réussi à accéder comme point de départ, il a finalement réussi à infecter un certain nombre de comptes sur un certain nombre de services différents à la fois à l'intérieur et à l'extérieur de Twitter.
Une fois que Hacker Croll a eu accès au compte de messagerie Twitter de l'employé hébergé par Google, il a pu télécharger des pièces jointes à des e-mails contenant des informations sensibles, notamment des mots de passe et des noms d'utilisateur supplémentaires. Il a rapidement repris les comptes d'au moins trois cadres supérieurs, dont le PDG de Twitter, Evan Williams, et l'un de ses co-fondateurs, Biz Stone. La recherche dans les pièces jointes de leurs e-mails a entraîné le téléchargement d'une abondance de données plus sensibles.
Hacker Croll s'est rapidement propagé à partir d'ici, accédant à AT&T pour les journaux téléphoniques, à Amazon pour l'historique des achats, à MobileMe pour des e-mails plus personnels et à iTunes pour des informations complètes sur les cartes de crédit. En fin de compte, lorsque Hacker Croll avait terminé son infiltration généralisée, il avait réussi à obtenir suffisamment d'informations personnelles et professionnelles sur d'importants dirigeants de Twitter pour leur rendre la vie misérable. Même à ce stade, Twitter n'avait absolument aucune idée qu'ils avaient été compromis.
Quelles étaient les intentions de Hacker Croll après avoir accompli ce processus ?
Selon TechCrunch, tout ce que Hacker Croll avait l'intention de faire était de mettre en évidence les faiblesses des politiques de sécurité des données de Twitter et de les amener, ainsi que d'autres start-ups, à envisager des mesures de sécurité plus strictes. Cela peut très bien être la vérité, car ce qui aurait inévitablement pu se produire, c'est Hacker Croll vendant les informations qu'il avait acquises afin de réaliser un profit, ce qu'il n'a pas fait. Au lieu de cela, les documents qu'il a acquis lors de son incursion sur Twitter ont été envoyés à plusieurs sites Web, dont TechCrunch, afin de prouver sa valeur.
Twitter a menacé de poursuivre en justice les sites, dont TechCrunch, qui ont publié les documents volés, mais les experts juridiques ont averti la semaine dernière qu'il était difficile de prédire si cela réussirait.