Útočník se k dokumentům Twitteru dostal přes webové e-maily

21. 7. 2009

Sdílet

Problém Twitteru se tentokrát netýkal sociální sítě, ale přímo vnitrofiremního systému jeho provozovatelů. Útočníkovi vystupujícímu pod přezdívkou Hacker Croll se podařilo odcizit důvěrné dokumenty – jeden z nich se jako důkaz objevil na serveru TechCrunch.

Zdá se, že samotný způsob útoku nebyl nijak zvlášť inovativní a roli v něm hrálo hlavně kompromitování účtů na webových e-mailech. Hacker Croll se nejprve dostal k účtu na Gmailu jednoho ze zaměstnanců Twitteru. Dokázal shromáždit o uživateli dostatek údajů, aby mohl zodpovědět otázku používanou pro případ zapomenutí hesla. Něco podobného se stalo loni i americké viceprezidentské kandidátce Sarah Palinové (kompromitovanou službou tehdy bylo Yahoo, viz článek Útočníci se dostali do e-mailu Sarah Palinové na Yahoo).

Informace o změně hesla byla ale zaslána uživateli na jeho další účet. Hacker Croll teď musel jednat rychle – konec konců, uživatel se také mohl přihlásit na GMail i z jiného důvodu a zjistil by, že to nejde. Croll při změně hesla od Googlu zjistil, že informace byla poslána na sekundární e-mailový účet ******@h******.com. Usoudil, že se jedná o Hotmail a získal kontrolu i nad tímto, mezitím už neaktivním účtem. Pak proces změny hesla prošel ještě jednou a na Gmailu nastavil původní heslo, čímž po sobě skryl stopy a původní uživatel účet dále používal (poznámka: podrobnosti, jak se asi dostal k původnímu heslu na Gmailu, viz americký Computerworld; základem bylo, že původní hesla na Gmailu a Hotmailu bylo stejné). Na Gmailu pak měl přístup k další poště dotyčného, například se sem zasílala potvrzení a hesla z jiných webových služeb. Croll také zkoušel se do dalších používaných služeb hlásit původním heslem a často byl úspěšný. A neštěstí bylo hotovo. Útočník se tak mj. dostal k přílohám e-mailů a dokumentům sdíleným ve službě Google Apps (opět stejné heslo).

bitcoin_skoleni

V určitém ohledu vnitrofiremní síť Twitteru kompromitovaná nebyla, ale ve výsledku jako by se stalo. Případ znovu ukazuje rizika používání stejných hesel pro všechny služby.