Twitter měl falešného administrátora

2. 5. 2009

Sdílet

Již podruhé v letošním roce se útočníkovi podařilo získat práva administrátora, když dokázal proniknout do účtu zaměstnance služby Twitter.

 

Útočník vystupující pod přezdívkou Hacker Croll zveřejnil na francouzském diskusním fóru 13 screenshotů, které pořídil, když byl přihlášen k účtu Jasona Goldmana, produktového manažera Twitteru. CEO Tvitteru Biz Stone celý incident potvrdil. Podle něj nedošlo k žádným únikům dat ani dalšímu průniku do systému či neoprávněným změnám, útočník prý pouze prohlížel z administrátorského rozhraní několik dalších účtů – přitom si vybral účty celebrit jako Britney Spears a Ashton Kutcher. Mohl tak zjistit například jejich e-maily nebo telefonní čísla.

Stone uvedl, že provozovatelé budou jednotlivě kontaktovat všechny uživatele, k jejichž účtům bylo takto přistoupeno.

„Hacker Croll“ tvrdí, že k účtu se dostal tak, že nejprve pronikl do Goldmanova účtu na Yahoo. Zde dokázal odpovědět na otázku pro případ zapomenutí hesla a změnil přístupové údaje. V e-mailu pak našel heslo k administrátorskému účtu Twitteru. Použil podle vlastních slov tedy výhradně „sociální“ techniky, žádné útoky XSS nebo SQL injection.

Celý útok velmi připomíná postup, který byl loni použit pro přístup k e-mailové schránce (taktéž na Yahoo) americké viceprezidenstké kandidátky Sarah Palinové (Útočníci se dostali do e-mailu Sarah Palinové na Yahoo).

Twitter se s problémy zabezpečení nepříliš úspěšně potýká celý tento rok. Protože například uživatelská jména jeho administrátorů jsou veřejně dostupné informace, útočníci se mohou pokoušet k nim přihlašovat pomocí hádání hesel.

ICTS24

O jiných problémech Twitteru jsme psali např. v článcích Twitter je až příliš zranitelný a Twitter je zřejmě děravý podobně jako Facebook.