Útočník vystupující pod přezdívkou Hacker Croll zveřejnil na francouzském diskusním fóru 13 screenshotů, které pořídil, když byl přihlášen k účtu Jasona Goldmana, produktového manažera Twitteru. CEO Tvitteru Biz Stone celý incident potvrdil. Podle něj nedošlo k žádným únikům dat ani dalšímu průniku do systému či neoprávněným změnám, útočník prý pouze prohlížel z administrátorského rozhraní několik dalších účtů – přitom si vybral účty celebrit jako Britney Spears a Ashton Kutcher. Mohl tak zjistit například jejich e-maily nebo telefonní čísla.
Stone uvedl, že provozovatelé budou jednotlivě kontaktovat všechny uživatele, k jejichž účtům bylo takto přistoupeno.
„Hacker Croll“ tvrdí, že k účtu se dostal tak, že nejprve pronikl do Goldmanova účtu na Yahoo. Zde dokázal odpovědět na otázku pro případ zapomenutí hesla a změnil přístupové údaje. V e-mailu pak našel heslo k administrátorskému účtu Twitteru. Použil podle vlastních slov tedy výhradně „sociální“ techniky, žádné útoky XSS nebo SQL injection.
Celý útok velmi připomíná postup, který byl loni použit pro přístup k e-mailové schránce (taktéž na Yahoo) americké viceprezidenstké kandidátky Sarah Palinové (Útočníci se dostali do e-mailu Sarah Palinové na Yahoo).
Twitter se s problémy zabezpečení nepříliš úspěšně potýká celý tento rok. Protože například uživatelská jména jeho administrátorů jsou veřejně dostupné informace, útočníci se mohou pokoušet k nim přihlašovat pomocí hádání hesel.
O jiných problémech Twitteru jsme psali např. v článcích Twitter je až příliš zranitelný a Twitter je zřejmě děravý podobně jako Facebook.
PŘEDPLATNÉ
ČLÁNKY DO MAILU