Hacker: I Broke Into Twitter

Per la seconda volta quest'anno, un hacker ha ottenuto l'accesso amministrativo all'account di un dipendente Twitter.

Mercoledì, un hacker anonimo con il nome di Hacker Croll ha pubblicato 13 screenshot in un forum di discussione online francese, apparentemente catturato durante l'accesso all'account Twitter di Jason Goldman, direttore della gestione prodotti con Twitter.

Twitter Cofounder Biz Stone ha confermato la violazione in un post sul blog giovedì pomeriggio. "Questa settimana, l'accesso non autorizzato a Twitter è stato acquisito da un partito esterno", ha scritto. "Le nostre prime recensioni e indagini sulla sicurezza indicano che nessuna informazione sull'account è stata alterata o rimossa in alcun modo, tuttavia abbiamo scoperto che 10 account individuali sono stati visualizzati durante questo accesso non autorizzato."

[Ulteriori informazioni: Come rimuovere il malware da Windows PC]

Secondo gli screenshot, Hacker Croll è stato in grado di accedere alle informazioni dell'account appartenenti a utenti di Twitter di alto profilo come Britney Spears e Ashton Kutcher. Poteva anche fare cose come aggiungere o rimuovere utenti in primo piano, suggeriti ai nuovi membri di Twitter al momento dell'iscrizione.

L'hacker potrebbe essere stato in grado di accedere a informazioni come indirizzi di posta elettronica, numeri di cellulare e un elenco degli account bloccati da questi utenti, ha scritto Stone. "Abbiamo contattato personalmente gli utenti di Twitter i cui account sono stati compromessi da questo accesso non autorizzato", ha detto.

Password indovinate

Hacker Croll ha affermato di aver avuto accesso alla password Twitter di Goldman prima di accedere al suo account Yahoo. "Uno degli amministratori ha un account yahoo, ho reimpostato la password rispondendo alla domanda segreta. Poi, nella casella di posta, ho trovato la sua password [sic] twitter", ha detto mercoledì Hacker Croll in un post a un online Forum di discussione. "Ho usato solo social engineering, nessun exploit, nessuna vulnerabilità xss, nessuna backdoor, np sql injection."

Lunedì, Goldman ha inviato un messaggio Twitter che diceva che il suo account Yahoo era stato violato.

Twitter ha ha avuto un'eruzione di problemi di sicurezza quest'anno.

A gennaio, un altro hacker che si chiamava GMZ ha detto di essere in grado di accedere a un account amministrativo indovinando la password di uno staff di supporto di Twitter. Secondo quanto riferito, la password era una parola facile da indovinare: felicità.

GMZ ha poi utilizzato quell'accesso per assumere il controllo di 33 account di alto profilo, inclusi quelli per Spears, il presidente degli Stati Uniti Barack Obama e Fox News.

Attacchi ripetuti

Twitter è stato anche colpito da diversi attacchi worm a diffusione rapida quest'anno che predicava difetti di programmazione Web sul sito.

Anche se il CEO di Twitter Biz Stone ha promesso una "completa revisione della sicurezza di tutti i punti di accesso a Twitter" dopo il L'incidente di gennaio, la sicurezza del sito è "molto debole", secondo Manuel Dorne, il blogger francese e project manager IT che ha pubblicato per la prima volta le notizie sul più recente attacco Twitter.

Stone ha fatto una promessa simile anche questa volta. "Twitter prende molto sul serio la sicurezza, quindi condurremo una verifica di sicurezza completa e indipendente di tutti i sistemi interni e implementeremo ulteriori misure anti-intrusione per salvaguardare ulteriormente i dati degli utenti", ha scritto giovedì.

Chiunque tenti di accedere all'amministratore. twitter.com riceve un prompt di accesso e, poiché i nomi utente di Twitter sono già pubblici, gli hacker devono solo indovinare la password. Potrebbe essere stato quello che è successo con il conto di Goldman, disse Dorne. "Forse la password era il nome di suo figlio o di sua moglie e l'hacker lo sapeva."

Questi tipi di attacchi, chiamati attacchi di ingegneria sociale da parte di ricercatori, sono efficaci e comuni. L'anno scorso, un hacker ha utilizzato la stessa tecnica descritta da Hacker Croll per ottenere l'accesso all'account e-mail Yahoo della candidata alla vicepresidenza Sarah Palin.

"Dobbiamo stare attenti e non sottovalutare gli attacchi di ingegneria sociale", ha detto Lance James, co-fondatore della società di consulenza Secure Science, tramite messaggio istantaneo. "Se lavorano per rubare denaro dalle banche, sarà banale dirottare i social network come Twitter."