Twitter hackerato, segreti da rivelare?

I presunti documenti interni e le informazioni sensibili di Twitter e dei suoi dipendenti potrebbero essere pubblicate oggi su ne

Grafica: siti di Diego Aguirrews e altri siti Web. La fonte di queste informazioni è un hacker francese che si chiama Hacker Croll. Il cybercriminale afferma di aver avuto accesso a informazioni personali sensibili per diversi dipendenti di Twitter tra cui account personali su PayPal, Amazon, AT & T, MobileMe, Facebook, account Gmail aziendali e account registrar Web per Twitter.com, secondo il blog francese Korben.

Hacker Croll ha anche distribuito alcuni presunti documenti interni a siti di notizie e blog, tra cui un elenco completo di dipendenti su Twitter e informazioni sugli stipendi; preferenze alimentari dei dipendenti di Twitter; contratti riservati con aziende come Nokia, Samsung, Dell, AOL, Microsoft e altri; un elenco di contatti di notabili personalità del Web e dello spettacolo; rapporti di riunione; il candidato riprende; e il tono originale del famigerato Twitter TV.

Dopo che la notizia della violazione della sicurezza è diventata pubblica, il co-fondatore di Twitter Evan Williams è stato contattato da TechCrunch per confermare il furto del documento. Secondo quanto riferito, Williams ha riferito che Twitter ha subito un attacco alcune settimane fa, ma l'evento non è stato collegato all'attacco in aprile quando un hacker ha avuto accesso a diversi account utente di alto profilo e funzioni amministrative di Twitter. L'hack di aprile è stato commesso anche da un criminale informatico che si chiamava Hacker Croll.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Williams ha detto a TC che l'azienda ha familiarità con la lista di informazioni Hacker Croll ottenuto e contrastato alcune delle affermazioni dell'hacker. Il co-fondatore di Twitter ha confermato che l'hacker ha avuto accesso all'account Gmail di sua moglie, dove sono state memorizzate alcune delle informazioni della carta di credito di Williams, oltre all'account Gmail di un impiegato amministrativo e una serie di account personali di altri dipendenti di Twitter. Williams sostiene che Hacker Croll non ha avuto accesso all'account Gmail di William e che Twitter ha adottato ulteriori misure di sicurezza per proteggere le proprietà dell'azienda e i documenti interni.

Dilemma giornalistico

Le cose sono diventate più complicate quando Hacker Croll ha inviato per e-mail una compressa file di 310 presunti documenti interni di Twitter direttamente su TechCrunch. Il blog dice che ha passato del tempo a rivedere le informazioni e intende pubblicare alcuni dei documenti che ha ottenuto nel corso della giornata di mercoledì.

Il fondatore di TC Michael Arrington dice che il sito non pubblicherà alcuna informazione sensibile come i codici di accesso o informazioni personali imbarazzanti; tuttavia, TC pubblicherà una varietà di presunti documenti tra cui "proiezioni finanziarie, piani di prodotto e note da riunioni di strategia esecutiva" e il tono originale per lo show televisivo basato sulla realtà di Twitter.

"C'è chiaramente una linea etica qui "Voglio attraversare", Arrington ha scritto in un post sul blog, "e la stragrande maggioranza di questi documenti non verrà pubblicata, almeno da noi. Ma alcuni dei documenti hanno così tanta notizia che pensiamo che sia appropriato per pubblicarli. "

Ethics Fallout

Il quotidiano britannico Guardian che riportava questa storia diceva che non sarebbe collegato a storie di TC riguardo l'hack di Twitter per ragioni legali. Un sondaggio online sul destino dei documenti di Twitter sta prendendo anche la temperatura degli utenti di Internet. Al momento della stesura di questo articolo, il 56% dei 622 intervistati era contrario a TC che rilasciava i documenti, mentre il 32% era a favore e il 12% non gli importava.

Molti lettori di blog tecnologici si oppongono anche alla decisione del TC. I lettori hanno detto che non è corretto per TC pubblicare i documenti perché sono stati ingiustamente "rubati" da Twitter, e quindi i dati sono fuori limite per la pubblicazione.

Per difendere la decisione della TC, Arrington parafrasa un commento del magnate del giornale britannico Lord Northcliffe che ha detto, "Le notizie sono ciò che qualcuno da qualche parte vuole sopprimere, tutto il resto è la pubblicità. " Il sito sostiene che se l'informazione atterra nella casella di posta di un giornalista è un gioco leale, indipendentemente da come siano stati ottenuti i dati. È importante sottolineare che TC ha dichiarato che non ristamperà alcun materiale che potrebbe compromettere la sicurezza aziendale o potenzialmente danneggiare la sicurezza o la carriera di una persona rivelando informazioni sensibili.

Le informazioni dovrebbero essere pubblicate?

L'altro problema è che le notizie le organizzazioni non hanno il controllo completo di queste presunte informazioni, poiché anche Hacker Croll ha i documenti. Se l'hacker anonimo voleva farlo, poteva facilmente pubblicare queste informazioni sul suo blog o sito web. È anche possibile che questa informazione sia nelle mani di Wikileaks, ma è improbabile che quel sito pubblichi le informazioni poiché tratta solo di informazioni di "significato politico, diplomatico o etico".

Se ulteriori organizzazioni di notizie ottengono queste informazioni, sono probabilmente seguire un percorso simile a TC o forse scegliere di non pubblicare affatto le informazioni. Quindi il problema potrebbe non essere quello che TechCrunch, The Guardian, PC World o altre agenzie di stampa faranno con le informazioni, ma cosa farà Hacker Croll.

Potrebbe non essere nulla, secondo Korben, che ha pubblicato un presunta citazione da parte dell'hacker che sosteneva di aver violato gli account dello staff di Twitter per insegnare a Twitter una lezione sulla sicurezza e dimostrare con quanta facilità le domande di sicurezza e le password possono essere violate. Queste affermazioni sull'esporre i difetti di sicurezza sono simili a quelle fatte da qualcuno che si chiama Hacker Croll durante l'hack di Twitter.com. A quel tempo, l'hacker dichiarò di essere in grado di accedere agli account amministrativi di Twitter semplicemente attraverso "ingegneria sociale".

Sicurezza Webmail

L'anno scorso, l'Università del Tennessee dello studente di Knoxville David Kernell fu arrestato con l'accusa di aver violato un account Yahoo Mail utilizzato dall'allora vice candidato presidenziale Sarah Palin. I messaggi di posta elettronica ottenuti dall'hack furono infine pubblicati da Gawker e potenzialmente dannosi per Palin. Il processo di Kernell inizierà il 16 dicembre.

L'account Palin è stato violato utilizzando la pagina di recupero password di Yahoo, simile allo stratagemma Hacker Croll utilizzato all'inizio di quest'anno per accedere agli account utente e amministrativo di Twitter tramite Yahoo Mail. Quel processo è sembrato molto semplice, ma la cosa strana degli hack degli account Gmail di Twitter è che il processo di sicurezza di Google non è così semplice come presumibilmente accaduto da Yahoo al momento dell'happ di Palin.

Nella pagina di recupero della password, Google ti chiede il tuo nome utente, e quindi richiede di inserire un CAPTCHA. Quindi Google invia un link all'indirizzo e-mail che hai inserito originariamente quando ti sei registrato per un account Google. Se non hai accesso a tale account, Google non ti consentirà di accedere al tuo account rispondendo alla domanda di sicurezza fino a 24 ore dopo aver ricevuto l'e-mail di sicurezza nel tuo account alternativo. Yahoo Mail utilizza attualmente un metodo di recupero della password simile.

Non è chiaro se questa misura di sicurezza fosse in vigore al momento in cui Hacker Croll ha effettuato l'accesso agli account Gmail associati a Twitter, ma serve come promemoria per tenere le informazioni su fino ad oggi e scegli una domanda di sicurezza che sarà difficile da capire per un hacker.

Per cambiare l'e-mail secondaria associata al tuo account Gmail e adottare altre misure di sicurezza, visita la pagina del tuo profilo Google.

Connettiti con Ian Paul su Twitter (@ianpaul).